Los enlaces de phishing en los correos electrónicos dirigidos a los empleados de la empresa a menudo se activan después de la verificación inicial. Esto se llama el phishing retrasado.

El phishing es una de las principales herramientas de ataque a las redes corporativas. No es sorprendente que haya filtros y detectores de direcciones maliciosas en todas partes. En los proveedores de correo electrónico, en las puertas de enlace de correo electrónico e incluso en los navegadores. Por lo tanto, los ciberdelincuentes están ideando y mejorando constantemente métodos de elusión. Uno de ellos es el phishing retardado.

¿Qué es el phishing diferido?

El phishing retardado es un intento de atraer a una víctima a un sitio malicioso o falso mediante la técnica de URL armada posterior a la entrega. Como sugiere el nombre, su esencia se reduce a reemplazar el contenido del sitio por uno malicioso después de que se entregue el correo electrónico a la víctima. Es decir, recibe un correo electrónico con un vínculo que no conduce a ninguna parte o a un recurso legítimo que puede estar ya comprometido, pero que aún no contiene contenido malicioso. De esta manera, la carta pasa fácilmente todos los filtros. Los algoritmos encuentran la URL, escanean el sitio, no ven ningún peligro en él y dejan que el mensaje vaya al buzón de la víctima.

Algún tiempo después de la entrega (garantizado después de la entrega del mensaje, pero si es posible antes de que la víctima lo lea), los atacantes abren una página de phishing preparada previamente o activan contenido malicioso en un sitio previamente inofensivo. Cualquier truco podría estar ahí, desde una interfaz replicada de un sitio bancario hasta un exploit del navegador que intenta descargar malware. Pero según un estudio realizado por los expertos de ciberseguridad, en el 80% de los casos existe un sitio de phishing.

¿Cómo hacen trampa los algoritmos anti-phishing?

Para engañar al algoritmo, los atacantes utilizan uno de tres métodos.

  • Enlace simple. Conduce a un sitio controlado por piratas informáticos, ya sea recreado o pirateado y secuestrado. Los ciberdelincuentes prefieren los sitios secuestrados porque tienden a disfrutar de una reputación positiva. Es una clara ventaja en términos de algoritmos de protección. En el momento de la entrega, hay un código auxiliar sin sentido detrás del enlace o una página de error con un código 404.
  • Enlace corto. Hay suficientes servicios en Internet que le permiten convertir una URL larga en una corta. Están concebidos para facilitar la vida de los usuarios. De esta forma pueden compartir un enlace breve y fácil de recordar, que, tras la transición, se convierte en uno completo. Es decir, se activa una redirección simple. Algunos servicios le permiten cambiar el contenido oculto dentro del enlace corto. Esto es lo que usan los atacantes: durante la entrega de mensajes, la URL conduce a un sitio legítimo y, después de un tiempo, comienza a redirigir a uno malicioso.
  • Enlace corto aleatorio. Un caso aún más raro. Algunos de los servicios de acortamiento de enlaces permiten la redirección probabilística. Es decir, cuando hace clic en el enlace, tiene un 50% de posibilidades de ir a google.com y un 50% a un sitio de phishing. Suponemos que los atacantes utilizan dichos enlaces para implementar el escenario descrito anteriormente con un enlace corto normal, pero cuando se activa la redirección a una página maliciosa, mezclan la probabilidad de llegar a un sitio legítimo. Al parecer, para confundir al rastreador.
https://tecnogeek.pw/google-sigue-luchando-contra-la-libertad/

¿Cuándo se vuelve malicioso un enlace?

La mayoría de las veces, los atacantes asumen que su víctima duerme por la noche. Por lo tanto, los mensajes con phishing retrasado se envían después de la medianoche y se vuelven maliciosos en unas pocas horas, más cerca del amanecer. Si observa las estadísticas de las detecciones de programas anti-phishing, puede ver un pico alrededor de las 7-10 am. Fueron los usuarios despiertos los que empezaron a hacer clic en los enlaces enviados por la noche, que de hecho ya se habían vuelto maliciosos.

Sin embargo, no debe olvidarse del spear phishing. Si los atacantes atacan a una víctima específica, pueden estudiar su rutina diaria, averiguar cuándo está leyendo el correo y activar un enlace malicioso ajustándose a su horario.

¿Cómo detectar el phishing retrasado?

Dado que, idealmente, debemos evitar que el enlace de phishing llegue al usuario, lo más apropiado sería volver a verificar los mensajes que ya están en los buzones de correo. Y en algunos casos esto es real. Por ejemplo, si su organización utiliza un servidor de correo de Microsoft Exchange.