Cómo recopilan los ciberdelincuentes información para el spear phishing

12 Feb 2019

Después de analizar los ataques dirigidos de la última década, nos hemos encontrado con un tema recurrente: “Todo empezó cuando la víctima abrió un correo electrónico phishing“. Te preguntarás por qué son tan eficaces los correos electrónicos del spear phishing y la respuesta es sencilla: porque están contextualizados y adaptados a la víctima específica.

Las redes sociales de las víctimas se suelen utilizar como una fuente de información y esto presenta otra cuestión: ¿cómo encuentran los cibercriminales estas cuentas? En gran medida, depende de la privacidad de la víctima. Si los datos de la víctima aparecen en un sitio web corporativo, con su biografía y un enlace a su perfil de LinkedIn, es muy sencillo. Pero si lo único con lo que cuentan los cibercriminales es con una dirección de correo electrónico, la tarea es mucho más complicada. Y, si solo tienen es una foto tuya accediendo a la oficina, las probabilidades de encontrarte en redes sociales son aun más bajas.

Hemos llevado a cabo un pequeño experimento con el objetivo de buscar información basándonos en datos. Para ello, tuvimos que recurrir a compañeros con diferentes grados de actividad en las redes sociales e intentar encontrarlos con las herramientas disponibles.

Búsqueda por foto

Buscar a alguien a través de una foto no es la situación más común. Damos por hecho que comienza con el ciberdelincuente fotografiando de forma secreta a todo el que accede al edificio de la empresa con el logo de la compañía en el pase. Después, comienza la búsqueda de la víctima perfecta para el spear phishing. Pero ¿por dónde se empieza?

Hace un par de años (cómo vuela el tiempo), escribimos sobre FindFace, un servicio que, gracias a ciertas condiciones y a varias fotografías de alta calidad de una marca, puede hacer coincidir rápidamente la imagen con una cuenta de redes sociales. Dicho esto, desde julio del año pasado, el servicio ha quedado inaccesible para el usuario ocasional. Sus creadores han estado ocupados desarrollando soluciones para gobiernos y empresas y ahora es un servicio basado en honorarios. Además, los creadores dijeron directamente que la versión pública era solo una “muestra de sus posibilidades”.

No obstante, no deberíamos olvidarnos de este servicio, ya que los ciberdelincuentes a veces también se deciden a invertir en herramientas adicionales para desempeñar sus ataques dirigidos. Todo depende del objetivo, aunque esta opción puede dejar rastros no deseados.

Google también ofrece un buscador de fotos gratuito que rastrea automáticamente varios servicios de búsqueda. No obstante, este método solo funciona con fotos que estén publicadas online, por lo que no es aplicable en esta situación, a no ser que se trate de una foto oficial de un sitio web, pero estas rara vez se publican sin información adicional (nombre y apellidos).

Aun así, hemos probado esta opción de búsqueda, pero Google solo logró identificar a nuestro voluntario como “caballero”, a pesar de que utiliza esta misma imagen como foto de perfil en Facebook y otras redes sociales. Por tanto, dudamos que los ciberdelincuentes puedan encontrar tu perfil después de hacerte una foto sin utilizar un servicio de reconocimiento facial de pago.

Nombre y apellidos

Cuando buscamos a alguien online, lo primero suele ser buscarlo por nombre y apellidos. Obviamente, el éxito de nuestra búsqueda está íntimamente relacionado con la prevalencia del nombre. Localizar a un John Smith no es una tarea fácil, pero alguien cuyo apellido sea “Lurie” (que, aunque no sea el más raro, tampoco es el más común), puede resultar muy sencillo a través de Google.

Por cierto, ¿sabías que algunas redes sociales te permiten ver el perfil de un usuario sin necesidad de que te registres?

Correo electrónico y número de teléfono

¿Y si tenemos el correo electrónico o el número de teléfono? Con esta dirección, podemos coger un camino directo y buscar en las redes sociales una por una. Aunque también hay servicios que recopilan automáticamente esta información; el más popular es Pipl, que puede encontrar páginas en redes sociales por número de teléfono o dirección de correo electrónico y proporcionar una breve biografía, con el lugar de nacimiento, los estudios y el puesto de trabajo. Según sus desarrolladores, ¡Pipl cuenta con información sobre más de 3 mil millones de personas!

Con este servicio, obtuvimos un enlace a, al menos, una cuenta de usuario en cinco de nuestros diez sujetos y, en algunos casos, incluso conseguimos un apodo o alias online.

Pseudónimo

Algunos usuarios utilizan un único pseudónimo para sus correos electrónicos personales o corporativos y otros, utilizan uno distinto para cada situación. En manos de los ciberdelincuentes, cualquier alias se puede utilizar para extraer más información sobre la víctima.

Este proceso de búsqueda se puede llevar a cabo con recursos como Namechk o Knowem. El primero puede localizar el nombre de una cuenta en más de 100 servicios y el último, en más de 500. Si el pseudónimo es muy común, no hay garantía de encontrar a un individuo en específico. Aun así, esta herramienta resulta muy útil para los ciberdelincuentes.

Qué debes hacer

Como has podido comprobar, no hace falta magia o acceder a servicios complejos para recopilar datos de las víctimas (dónde viven, qué aficiones tienen, etc.). Por tanto, además de hacer un repaso sobre los métodos phishing, te recomendamos estas simples normas:

  1. No registrarse en redes sociales a través de un correo electrónico o número de teléfono público.
  2. No utilizar la misma foto en perfiles personales y en cuentas del trabajo.
  3. Utilizar pseudónimos diferentes para que, si el delincuente conoce uno de ellos, no pueda encontrarte en todas las redes.
  4. No facilitar la vida a los ciberdelincuentes publicando información innecesaria sobre ti mismo en las redes.

Y, por último y más importante, protege las estaciones de trabajo con una solución de seguridad de confianza con tecnología antiphishing, como Kaspersky EndPoint Security for Business.