Muchos investigadores, medios, organizaciones y estados, e incluso el FBI, apuntaron a Corea del Norte cuando a fines del año pasado hubo una intrusión a los sistemas de Sony Pictures que tuvo como consecuencia la fuga de información sensible, amenazas a los empleados y películas filtradas en la web. Pero ahora, dos analistas anunciaron durante la conferencia RSA 2015 que detrás del ataque hubo algo quizás no tan controversial, o que al menos no remite a un conflicto político: un ataque de spear phishing.
En una presentación titulada “Hacking Exposed Live”, Brian Wallace (Senior Security Researcher) y Stuart McClure (CEO de Cylance) aseguraron que una campaña de phishing que impostaba el proceso de login de Apple ID fue la responsable del incidente de Sony. En una entrevista con eWEEK, McClure dijo que ha investigado mucho el ataque y, si bien no tiene conocimiento de primera mano de que esto sea lo que realmente sucedió, halló evidencia suficiente para respaldar sus conclusiones.
Afirma que el primer paso fue un ataque dirigido de spear phishing que llegó a varios administradores de sistemas de Sony. “Era un set de ataques de spear phishing bien elaborados, centrados en la verificación de Apple ID”, le dijo a eWEEK. Se trata de una técnica similar a la del phishing, con la diferencia de que no tiene una llegada ni un alcance tan masivo, sino que el correo falso está dirigido a un grupo u organización específica.
Esto tiene sentido si pensamos que quienquiera que estaba tratando de acceder a los sistemas de Sony y robar su información sensible, se focalizó en diseñar una campaña que hiciera caer a sus empleados. “La verificación de Apple ID se veía muy convincente y era justo lo que los usuarios normalmente esperarían ver, excepto, claro, que es completamente falsa”, comentó McClure.
Y ya con que exista la sospecha de que todo se debió a un phishing, nos hace pensar una vez más en lo importante que resulta la educación en seguridad informática de los empleados de toda organización, de manera que sepan ser cautelosos al utilizar los sistemas y aplicaciones dentro del ámbito corporativo.
Cuando las víctimas ingresaban sus credenciales de Apple ID, la página falsa mostraba un error indicando que la contraseña era incorrecta. Al mismo tiempo, explica eWEEK, los atacantes estaban capturando la información, de manera que pudieron analizar los IDs capturados y conectarlos a perfiles sociales de LinkedIn. Además, pudieron determinar usuarios y contraseñas corporativos, es decir, propios de los perfiles en sistemas Sony. Una vez adentro de los mismos, distribuyeron malware en la red.
 |
| Spear-Phishing |
En una presentación titulada “Hacking Exposed Live”, Brian Wallace (Senior Security Researcher) y Stuart McClure (CEO de Cylance) aseguraron que una campaña de phishing que impostaba el proceso de login de Apple ID fue la responsable del incidente de Sony. En una entrevista con eWEEK, McClure dijo que ha investigado mucho el ataque y, si bien no tiene conocimiento de primera mano de que esto sea lo que realmente sucedió, halló evidencia suficiente para respaldar sus conclusiones.
Afirma que el primer paso fue un ataque dirigido de spear phishing que llegó a varios administradores de sistemas de Sony. “Era un set de ataques de spear phishing bien elaborados, centrados en la verificación de Apple ID”, le dijo a eWEEK. Se trata de una técnica similar a la del phishing, con la diferencia de que no tiene una llegada ni un alcance tan masivo, sino que el correo falso está dirigido a un grupo u organización específica.
Esto tiene sentido si pensamos que quienquiera que estaba tratando de acceder a los sistemas de Sony y robar su información sensible, se focalizó en diseñar una campaña que hiciera caer a sus empleados. “La verificación de Apple ID se veía muy convincente y era justo lo que los usuarios normalmente esperarían ver, excepto, claro, que es completamente falsa”, comentó McClure.
Y ya con que exista la sospecha de que todo se debió a un phishing, nos hace pensar una vez más en lo importante que resulta la educación en seguridad informática de los empleados de toda organización, de manera que sepan ser cautelosos al utilizar los sistemas y aplicaciones dentro del ámbito corporativo.
Cuando las víctimas ingresaban sus credenciales de Apple ID, la página falsa mostraba un error indicando que la contraseña era incorrecta. Al mismo tiempo, explica eWEEK, los atacantes estaban capturando la información, de manera que pudieron analizar los IDs capturados y conectarlos a perfiles sociales de LinkedIn. Además, pudieron determinar usuarios y contraseñas corporativos, es decir, propios de los perfiles en sistemas Sony. Una vez adentro de los mismos, distribuyeron malware en la red.
