Viajemos a 1994. No hace falta sacar el busca ni ponerse la camisa de franela. Fue el año en que nació el primer protocolo SSL . Fue lanzado por Netscape para satisfacer la creciente necesidad de mayor seguridad para ese invento recién inventado llamado Internet.
Varias versiones de SSL después y acabó transformándose en el TLS que conocemos hoy. Sin embargo, como si de un mal apodo se tratara, seguimos refiriéndonos a TLS como SSL.
Desde aquellos primeros días de los albores del navegador web, ha habido continuos problemas con la seguridad de los SSL. A los ciberdelincuentes les encanta llevar a cabo estafas de phishing utilizando certificados de SSL y haciéndolos pasar por sitios de confianza. Esta estafa lleva existiendo desde 2005, cuando se produjeron los primeros casos de phishing utilizando certificados SSL .
Según un informe del Anti-Phishing Working Group (APWG) y el colaborador PhishLabs, en el primer trimestre de 2021, 83% de los sitios de phishing tenían activado el cifrado SSL . Sorprendentemente, esta fue la primera vez que la cifra se estabilizó desde que PhishLabs comenzó el estudio en 2015.
Pero las organizaciones no pueden utilizar esta noticia como motivo para empezar a bajar la guardia frente a los ataques de phishing de SSL . Sobre todo porque las amenazas de phishing en general van en aumento, con un incremento total del 22% en la primera mitad de 2021.
Por qué a los atacantes les encanta SSL phishing
Fue Ronald Reagan quien acuñó el proverbio "confía, pero verifica" y esto es especialmente cierto cuando se trata de certificados de SSL . Ese pequeño símbolo de candado en el navegador trae consigo una sensación de confianza en que estarás protegido y no habrá alguien que huya con todo tu dinero. Y son los ciberdelincuentes los que quieren romper esa confianza.
SSL Se supone que los certificados protegen todas las cosas que son oro para un ciberdelincuente, desde cuándo celebraste tu cumpleaños hasta cuándo hiciste tu último reintegro bancario. Los sitios HTTPS fraudulentos son una de las puertas de acceso a esta información favoritas de los hackers, que saben muy bien cómo proporcionar fácilmente una falsa sensación de seguridad. Para ellos es relativamente sencillo configurar un sitio HTTPS falso con ese candado de confianza en ataques que a menudo se describen como "bajo riesgo, alta recompensa".
El modus operandi de los atacantes suele consistir en obtener certificados originales de SSL para dominios parecidos o que se aprovechan de errores tipográficos, o simplemente robar certificados de SSL . Según un estudio de Deloitte 91% de todos los ciberataques comienzan con un correo electrónico de phishing a víctimas inesperadas. Normalmente se les atrae a los sitios a través de un enlace en un correo electrónico enviado desde una dirección legítima, como una empresa de renombre o una persona conocida.
En el segundo trimestre de este año 90.5% de los sitios de phishing utilizaron certificados de dominio validado (DV) SSL . Los certificados validados por la organización (OV) fueron los segundos más populares entre los ciberdelincuentes y representaron el 9.51% de los certificados de SSL . Los certificados DV probablemente fueron los más populares porque son fáciles de adquirir y suelen ser gratuitos. Los certificados OV suelen requerir que el propietario del dominio tome más medidas para autenticar el sitio.
Sólo 11 sitios tenían certificados de validación ampliada (EV). Todos ellos eran sitios legítimos que habían sido pirateados y no sitios creados por atacantes que, de algún modo, habían adquirido certificados EV.
Los distintos tipos de ataques de phishing HTTPS
Tal vez uno de los ejemplos más conocidos de uso de correos electrónicos y sitios similares para expediciones de phishing es Sony Pictures. En 2014, lo más probable es que los hackers enviaran correos electrónicos con ID de Apple falsos a empleados de Sony. El personal que hizo clic en el enlace del correo electrónico fue llevado a un sitio web de Apple que se parecía mucho al real. Los hackers pudieron entonces infiltrarse en la empresa y robar contraseñas, nombres de usuario y otros datos valiosos.
A pesar de que Apple es muy popular entre los atacantes, ni siquiera figura entre los diez primeros puestos de la lista anual de Vade de las marcas más suplantadas en ataques de phishing. Por tercer año consecutivo, el primer puesto fue para Microsoft. Con 30.621 URL de phishing únicas. Le siguió Facebook, con 14.876 URL, y PayPal, Chase y eBay completaron los cinco primeros puestos.
He aquí un análisis más detallado de algunos tipos comunes de ataques de phishing HTTPS. Estas técnicas están en constante evolución, y muchas se utilizan en combinación para una amenaza aún mayor.
- Ataque Man-in-the-Middle (MITM): Los atacantes espían conversaciones seguras entre dos partes que creen que sólo se están comunicando entre sí y a menudo obtienen acceso utilizando certificados caducados de SSL .
- SSL Ataque de desprotección: Se trata de una forma de ataque de intermediario en el que los piratas informáticos degradan una conexión web de HTTPS, más segura, a HTTP, menos segura. eliminando el cifrado.
- Certificados comodín: Los atacantes utilizan una clave privada robada para acceder a un certificado comodín o engañan a la autoridad de certificación para que lo emita para una empresa falsa.
El phishing HTTPS y la pandemia COVID-19
No es de extrañar que los ciberdelincuentes aprovechen la pandemia para realizar ataques de phishing HTTPS. Se aprovechan de la gente en un momento difícil con tácticas de ingeniería social que les llevan a sitios web fraudulentos que ofrecen de todo, desde curas a noticias falsas.
SpyCloud analizó una lista de más de 136.000 nombres de host y nombres de dominio completos con temas relacionados con COVID-19 o coronavirus. Descubrió que 78.4% de los dominios con temática COVID-19 utilizaban HTTP y el resto HTTPS.
Los intentos de phishing relacionados con la pandemia en junio de 2021 aumentaron 33% en comparación con una pausa en las campañas de amenazas relacionadas con COVID-19 durante la primavera y principios del verano de 2021, cuando la preocupación por el virus disminuyó temporalmente. El pico de junio se produjo justo cuando las búsquedas de "variante Delta" en Google alcanzaron su punto álgido.
También ha habido un aumento en los departamentos de RRHH de las empresas que piden a los empleados que envíen una prueba de vacunación (¡con la fecha de nacimiento!) o los resultados de las pruebas personales del coronavirus a través de un formulario o una carga no segura que es propicia para los piratas informáticos. Otro método en auge es el envío de correos electrónicos de phishing en los que se dice a los empleados que van a perder su empleo a causa de la pandemia.
Debido a la pandemia, muchas empresas han pasado a trabajar desde casa. Sin embargo, las organizaciones han fallado a la hora de aplicar sus protocolos de ciberseguridad y los empleados han estado trabajando desde casa con escasa supervisión. Más de la mitad de los responsables de TI creen que los empleados han adquirido malas conductas de ciberseguridad desde que trabajan a distancia.
El trabajo remoto ha llevado a una mayor dependencia de las aplicaciones en la nube. Microsoft Office 365 ha sido una plataforma a la que han recurrido los trabajadores distribuidos, y se estima que Office 365 es utilizado por más de un millón de empresas en todo el mundo. El problema es que Office 365 es uno de los favoritos de los hackers. Ha habido un alto volumen de múltiples intentos de phishing corporativo para robar credenciales de Microsoft Office 365. A menudo se dirige a las víctimas para que introduzcan sus credenciales de inicio de sesión de Microsoft en sitios impostores que parecen reales pero carecen del certificado SSL adecuado.
O los delincuentes están atacando a filiales de Microsoft como su servicio de gestión de correo electrónico en la nube Mimecast. A principios de este año, Mimecast denunció que los atacantes iban tras el certificado digital que proporcionaba a ciertos clientes para conectar de forma segura sus productos a Microsoft 365. Lo más probable es que el certificado comprometido fuera un certificado de confianza de SSL emitido para Mimecast.
Proteger su empresa del phishing HTTPS
En febrero de 2021, Google Chrome representaba alrededor del 46% de la cuota de mercado global de navegadores de Internet en Estados Unidos. Google informa de que más del 90% de las cargas de páginas en Chrome en la mayoría de los sistemas operativos se producen a través de HTTPS en comparación con HTTP. A partir de este año, el navegador web Chrome de Google pondrá en marcha un "Modo sólo HTTPS" opcional por defecto. La nueva configuración aparecerá como un simple interruptor en la página de configuración de seguridad y, una vez activada, hará que los sitios web HTTP sean inaccesibles.
Además, Google quiere retirar el icono del candado y está considerando probar en su lugar un chevron/careto orientado hacia abajo que abre un menú para configurar los permisos del sitio y ver otros detalles del mismo. En la encuesta de Google a encuestados con conocimientos tecnológicos moderados, sólo el 11% de los participantes pudo identificar correctamente el significado del icono del candado. Algunos pensaron que era el icono del marcador o el favicon del sitio. Y este problema es sólo una capa más en la comprensión de la gente de que sólo porque un sitio tenga HTTPS, no significa que esté garantizada su fiabilidad.
Lo más probable es que su empresa tenga una sección en su formación sobre ciberseguridad acerca de los ataques de phishing, pero compruebe que cubre específicamente el phishing relacionado con HTTPS. Durante mucho tiempo, los empleados han asumido que si ven el símbolo del candado saben que la página que están visitando es segura. Infórmeles sobre las ciberamenazas HTTPS para proteger mejor a su organización contra los esquemas de phishing que utilizan certificados SSL .
He aquí algunos consejos sencillos para compartir con su empresa:
- Si un empleado recibe un correo electrónico sospechoso con un enlace, indíquele que llame o envíe un correo electrónico (no una respuesta) a la persona directamente y le pregunte si lo ha enviado. Esto vale para personas de dentro y fuera de la organización.
- Fíjese bien en la URL del sitio web y compruebe si hay faltas de ortografía o un dominio incorrecto, como el uso de .gov en lugar de .com. Aconséjales que escriban la URL directamente en su navegador en lugar de hacer clic directamente en el enlace.
- Enseñe al empleado a pasar el ratón por encima del enlace para ver si el destino es el correcto. Recuérdele que sólo debe pasar el ratón por encima y no hacer clic en el enlace, aunque parezca un sitio seguro.
- Evite el uso de certificados comodín en los sistemas de producción, lo que aumenta el riesgo y la superficie de ataque, si un servidor o certificado se ve comprometido.
