fbpx
Sáb. Ene 28th, 2023

    Los cibercriminales usan las técnicas que ms beneficios económicos les generen, sin importar que esta técnica sea antigua. Siempre que siga siendo efectiva será usada para obtener sus objetivos. Este es el caso de los ataques de phishing a los bancos, una técnica muy usual para engañar a los usuarios tanto en ataques de Spam Phishing (masivos y a día de hoy altamente detectados) o de Spear Phishing (dirigidos y mucho ms peligrosos).

    Para que sea ms efectiva esta vieja técnica, los delincuentes utilizan otro mecanismo también con mucha antigüedad, que es la suplantación o «Spoofing de direcciones de correo electrónico, con el cual los cibercriminales se hacen pasar por entidades o empresas reconocidas, principalmente del sector bancario.

    Figura 1Cómo estn las protecciones contra ataques de
    phishing en las entidades bancarias latinoamericanas?

    Para atenuar el impacto de estas técnicas, desde hace mucho tiempo se han venido desarrollando tecnologías de protección para detectar la suplantación de direcciones de e-mail, como los los mecanismos SPF (Sender Policy Framewok), SenderID, DKIM (Domain Keys Identified Mail) o DMARC (Domain-based Message Authentication, Reporting & Conformance).

    Estas medidas de atenuación deben ser configuradas por todas las empresas, pero especialmente por las entidades bancarias, quienes son las principales víctimas de la suplantación de sus direcciones de correo electrónico.

    Un estudio con la banca en Latinoamérica

    Como estos ataques siguen generando impactos económicos y reputacionales muy grandes uno espera que todos estos controles estén correcta y estrictamente configurados. Para comprobar si esto era así, me decidí a hacer un anlisis de estas medidas en las 25 principales entidades financieras de Latinoamérica, que por nacionalidad son

    Figura: Distribución por países de las organizaciones en el estudio

    El anlisis no es muy complicado ya que basta con mirar la configuración de los registros adecuados en el DNS, y para automatizarlo utilicé la herramienta de SpoofCheck, que permite validar la posibilidad de suplantar estos dominios de correo. Los resultados no fueron buenos, ya que como se puede ver desafortunadamente estas medidas no estn implementadas de forma adecuada en la mayoría de los casos, pues solo 2 entidades tienen correctamente implementadas las medidas de SPF y DMARC.

    Figura: Resutado de las pruebas con SpoofCheck en las 25 entidades

    Al entrar al detalle de las configuraciones, es posible darse cuenta que la mayoría de las entidades configuran las medidas de mitigación que técnicamente se pueden implementar, pero no realizan un proceso de fortificación para hacer que ests sean robustas y que garanticen un control efectivo

    Como se puede ver en la grfica solo existen 2 entidades que tienen ambos controles configurados de forma robusta, pero es ms crítico que existen 3 entidades que no tienen implementado ninguno de los controles. Esto lo que evidencia que la implementación de los controles en el DNS no son correctamente configurados, exponiendo a los usuarios a ser víctimas de una suplantación.

    Figura: Nivel de seguridad brindado por las medidas SPF y DMARC

    En la Figura 4 se puede apreciar que los controles se marcan con una implementación débil, por lo que se revisan las sentencias en el DNS de cada uno de los dominios para sacar la característica que genera esta calificación en cada una de las herramientas

    En el caso de SPF, que es la medida de seguridad ms veces configurada, se permite registrar dominios y direcciones IP autorizados para ser emitir correos electrónicos a nombre del dominio de la entidad y al final de la sentencia se indica la severidad con la que se debe tratar a los correos que no cumplan las anteriores características de origen descritas para ser rechazados

    Figura: Ejemplo de configuración de un registro SPF

    Este mensaje final tiene cuatro niveles de calificación, desde que cualquiera pueda enviar hasta totalmente restrictiva, por lo que al analizar las sentencias de DNS configuradas por las entidades financieras se detecta que la mayoría tienen la configuración en lo que se denominasoftfail que se interpreta usualmente como que es posible que ese origen sea un remitente vlido

    La configuración de DMARC es mucho menos usada y solo 2 entidades la configuraron de forma que garantiza que la política aplicada por los receptores cuando un mensaje no contenga los datos de autenticación, reporte y conformidad, sea rechazada o puesta en cuarentena. Esta política es la que se configura en la sentencia de DNS donde se configura el DMARC.

    Figura: Flujo de funcionamiento de DMARC

    Al revisar la configuración en los dominios de las entidades financieras, se encuentra que solo dos entidades tienen configurada la política que implica rechazo o cuarentena y en 10 entidades la política esta marcada comonone lo que permite que el correo fraudulento pase sin que se le aplique una restricción.

    Reflexiones finales

    En conclusión, las principales entidades financieras de Latinoamérica tienen controles implementados para evitar que sus clientes sean víctimas de ciberdelincuentes que usando el correo electrónico, sin embargo, la efectividad de estos controles no es todo lo robusta que podría ser debido a que usan configuraciones que no garantizan la implementación de políticas de restricción para los servidores que reciben correos fraudulentos. Cuanto mejor estén las medidas de seguridad, ms alto será el PCL (Phishing Confidence Level) de los mensajes de correo y ms fcil será detectarlos en los sistemas de seguridad de los servidores de correo electrónico.

    Figura: Valores PCL utilizados en Outllook para detectar Spam/Spear Phishing

    En muchos clientes, con nuestro sistema de pentesting persistente, detectamos la misma situación, y esto suele ser debido a una mala gestión de los canales de comunicación vía e-mail de la empresa. Es decir, se suelen dar casos en los que las newsletters, las listas de distribución de e-mails o campañas concretas de comunicación vía correo electrónico, se delegan en terceras empresas, que envían mensajes desde servidores no corporativos, que adolecen de medidas de seguridad similares, lo que hace al final que haya que rebajar la configuración global de seguridad.

    Y esto genera muchos problemas en las empresas que se preguntan despuéspor qué mi correo llega como spam? Una configuración robusta y segura de las medidas de seguridad no solo ayuda a mitigar el Spam Phishing, el Spear Phishing y el Spoofing, sino que adems reduce los SCL (Spam Confidence Level) de los mensajes que son enviados desde la compañía lo que ayuda a tener un mejor negocio electrónico.

    Por último, hay que recalcar que estos mecanismos de seguridad no son nada ms que una pequeña pieza dentro de la estrategia de seguridad contra el fraude y los ataques de phishing dentro de una organización financiera, ya que se utilizan muchos otros sistemas de vigilancia digital, alerta y detección temprana desde los SOCs y controles en el uso de credenciales robadas, así que no se puede tomar estas configuraciones como una medida final de seguridad global de la entidad, aunque su configuración robusta ayuda, como ya se ha dicho, a mejorar las protecciones globales.

    Autor Diego Samuel Espitia Montenegro
    Chief Security Ambassador CSA (Colombia) @ElevenPaths

    error: Content is protected !!
    A %d blogueros les gusta esto: