Las 5 principales estafas de suplantación de identidad (phishing) en la historia: lo que necesita saber

El software automatizado y las herramientas sofisticadas hacen posible que los cibercriminales emprendedores puedan escalar sus correos electrónicos fraudulentos de una forma nunca imaginada. Los procesos que solían ser laboriosos y consumían mucho tiempo ahora se pueden codificar en rutinas automáticas que proyectan una red más amplia de lo que las generaciones anteriores de ciberdelincuentes pudieron realizar.

La misma tecnología de chatbot que te permite  perder el tiempo de los estafadores  como una broma práctica y divertida está siendo utilizada en el otro extremo por los mismos estafadores. Cuando se llega a esto, perder el tiempo de un chatbot con otro tiempo de chatbot no suena tan atractivo.

La historia de la ciberseguridad puede mostrarnos algunos desarrollos clave en el tamaño y la sofisticación de las estafas de phishing por correo electrónico que ilustran cómo llegamos aquí hoy. Algunas de las estafas más grandes del mundo se cometieron con tecnología que puede parecer simple hoy en día, mediante el uso de un método y estructura subyacentes que son tan peligrosos ahora como lo eran en ese momento. Solo la protección avanzada contra phishing puede mantener a los usuarios a salvo de estas estafas.

Las 5 estafas de phishing más famosas de la historia.

No hay nada nuevo acerca de los trucos de confianza que se comunican por correo. La estafa 419, también conocida como la estafa del príncipe nigeriano, está atestiguada (en diversas formas) hace  200 años . Pero la tecnología que permite a los estafadores obtener y utilizar la información de la víctima con fines maliciosos  en masa  es muy nueva.

Algunos de los criminales más ambiciosos y emprendedores en la historia de Internet han intentado usar estas estrategias para ganar millones rápidamente. Algunos incluso tuvieron éxito, al menos temporalmente, hasta que el largo brazo de la ley los alcanzó.

1. Operación Phish Phry

En 2009, el FBI dijo que la Operación Phish Phry era el caso internacional de phishing más grande jamás realizado. Cientos de clientes de bancos y tarjetas de crédito recibieron correos electrónicos de aspecto oficial dirigiéndolos hacia sitios web financieros falsos. Las víctimas ingresaron sus números de cuenta y contraseñas en formas fraudulentas, dando a los atacantes un acceso fácil a sus datos privados.

El equipo detrás de la estafa fue altamente organizado. El entonces director  Robert Mueller lo  usó como un ejemplo de cómo los grandes sindicatos del crimen organizado son indiscernibles de los actores del estado-nación cuando se trata de ataques cibernéticos ambiciosos a gran escala. Simplemente no hay manera de saber quién es realmente el perpetrador hasta después de la investigación.

Desde el principio, fue evidente que la Operación Phish Phry era un proyecto a gran escala. El FBI finalmente cobró a más de 100 individuos, confiando en la cooperación de los agentes de seguridad nacional de Egipto para capturar a casi la mitad de ellos fuera del territorio de los Estados Unidos.

La operación fue relativamente simple para los estándares de hoy, pero logró robar alrededor de $ 1.5 millones de cientos o incluso miles de cuentas bancarias.

2. Walter Stephan

Mientras que Operation Phish Phry nos da la organización criminal más grande dedicada exclusivamente al phishing por correo electrónico, la historia del  ejecutivo aeroespacial austriaco Walter Stephan  tiene el récord de ser la persona que más dinero ha perdido en la historia de una sola estafa: alrededor de $ 47 millones.

Durante su mandato como CEO de FACC, que fabrica componentes de aviones para Boeing y Airbus, los ciberdelincuentes falsificaron el correo electrónico de Stephan y exigieron que un empleado de nivel inferior transfiriera la enorme suma a una cuenta bancaria desconocida como parte de un «proyecto de adquisición».

Los sistemas de FACC no fueron hackeados. Parece que el atacante simplemente adivinó correctamente el correo electrónico de Stephan, creó una  dirección de correo electrónico falsa de aspecto similar y luego se dirigió a un contador de nivel de entrada.

El empleado inmediatamente confió en el correo electrónico y envió el cable. A raíz de la pérdida, Stephan perdió su puesto como CEO, FACC despidió a su director financiero y la empresa se apresuró a recuperar el dinero, recuperando finalmente una quinta parte de la pérdida.

Para evitar el destino de FACC, las empresas deben capacitar a los empleados para que verifiquen la comunicación por correo electrónico que parece provenir de miembros de la junta directiva. Esa llamada telefónica de 30 segundos puede ser molesta, pero puede ahorrar millones.

3. La estafa de Target / FMS

Una de las principales noticias de 2013 fue la  violación de datos de Target  que afectó a 110 millones de usuarios, incluidos 41 millones de cuentas de tarjetas minoristas. En ese momento, pocos medios de comunicación informaron  cómo se produjo la violación , pero ahora los resultados de la investigación a gran escala son públicos.

Resulta que los ciberdelincuentes no atacaron a Target directamente. Se dirigieron a un proveedor externo de HVAC llamado Fazio Mechanical Services (FMS), que disfrutaba de un acceso confiable a los servidores de Target. Al comprometer los servidores de FMS, obtener acceso completo a los de Target era simple.

La lección aquí es clara: las conexiones confiables necesitan una revisión de expertos independientes. Alguien en su compañía necesita preguntar si mantener una conexión confiable realmente vale la pena el riesgo potencial de seguridad que puede tener.

4. El ataque de la red eléctrica ucraniana

El ataque a la red eléctrica ucraniana de diciembre de 2015 fue un acontecimiento histórico por varios motivos. Fue la segunda vez que se desarrolló un firmware malicioso específicamente para destruir maquinaria física, la primera fue Stuxnet, utilizada por EE. UU. E Israel para cerrar las centrifugadoras nucleares iraníes en 2009.

Pero a diferencia de Stuxnet, el ataque de firmware malintencionado de Ucrania utilizó el  phishing de correo electrónico  como su vector de ataque original. También fue el primero en utilizar actualizaciones de firmware malintencionadas y automatizadas y escalables, de modo que un pequeño equipo podría deshabilitar varios sitios al mismo tiempo.

Los operativos de ciberinteligencia rusos tuvieron acceso a los datos e instalaciones de la planta de energía durante meses antes del ataque y planificaron cuidadosamente cada etapa del ataque para lograr el máximo efecto.

La capacidad de escribir firmware malicioso con código personalizado para los nodos de las estaciones de energía eléctrica significa que una vez que los cibercriminales tienen acceso a una red, potencialmente pueden anular cualquier elemento, desde impresoras y refrigeradores hasta aviones y torres de comunicaciones del aeropuerto.

Este ciberataque histórico se originó con un solo error cometido por un empleado de la planta de energía. La protección integral contra el phishing y la capacitación podrían haberlo evitado por completo.

5. La estafa de alquiler de vacaciones de la Copa del mundo de Moscú

La entrada más reciente en esta lista es notable debido a su tamaño y complejidad. La Comisión Federal de Comercio tuvo que intervenir para guiar a  los fanáticos de la Copa Mundial  a FIFA.com, la única fuente oficial de entradas. Los estafadores de phishing por correo electrónico enviaron innumerables correos electrónicos prometedores de alquileres de vacaciones, entradas gratuitas y más para los fanáticos de la Copa Mundial.

En este caso, parece que en lugar de ser una organización única que perpetra la estafa, los oportunistas de todo el mundo intervinieron e intentaron extraer dinero de los bolsillos de los fanáticos de los deportes. En un caso particular de alto perfil, los  piratas informáticos se dirigieron a los usuarios de Booking.com a  través de WhatsApp y SMS. Los mensajes contenían datos legítimos del cliente: nombres, números de teléfono, direcciones, fechas de reserva, números de referencia, tomados de sistemas hoteleros comprometidos.

Los servidores de Booking.com no se vieron comprometidos en este ataque, pero no tenían por qué serlo. Dado que los piratas informáticos se dirigieron a los socios hoteleros de la agencia, podrían crear mensajes de phishing muy convincentes utilizando datos reales. Este evento subraya la necesidad de establecer protocolos para el envío de datos seguros, como decirle a los clientes que nunca confíen en las solicitudes de SMS para información confidencial o restablecimientos de contraseñas.

Lo que podemos aprender de las estafas de phishing

Todas las estafas de phishing anteriores utilizan diversos métodos y estrategias de ataque para lograr objetivos muy diferentes. El patrón subyacente principal es el uso fraudulento de datos confidenciales para robar y extorsionar.

Defenderse de la gran variedad de estafas de suplantación de identidad (phishing) en la naturaleza requiere un enfoque integral y de múltiples capas. La protección avanzada contra amenazas es un elemento de importancia crítica de este enfoque, pero debe combinarse con el establecimiento de protocolos de comunicación estrictos para datos confidenciales.

Con el marco de seguridad adecuado en su lugar, las organizaciones pueden protegerse de múltiples vectores de amenazas con igual robustez. Tecnologías como  DMARC  pueden proteger a sus ejecutivos para que no se conviertan en el próximo Walter Stephan, y las políticas de seguridad claras orientadas al cliente pueden evitar que sus usuarios sufran a manos de estafadores oportunistas de WhatsApp. La protección avanzada contra amenazas es la base de soluciones de seguridad integrales y exitosas para empresas.