¿Cómo funciona?
Mensajes masivos personalizados de phishing que normalmente se redactan de modo que parezca que llegan en cantidades pequeñas, lo cual simula los ataques dirigidos. Los atacantes se aprovechan de las técnicas empleadas por las campañas masivas de mercadotecnia para generar millones de mensajes distintos. Lo hacen con código e infraestructura de generación de correo que puede rotar el contenido, las líneas de asunto, las direcciones IP de los remitentes y las cuentas de correo electrónico y las direcciones URL de los remitentes de los mensajes. Eso significa que en cada organización no más de 10 a 15 mensajes serán semejantes, lo cual permite que los mensajes malintencionados pasen por debajo del radar de todos los sistemas de detección de spam y de contenido. Por lo general, no se incluye ningún archivo adjunto, lo cual minimiza la probabilidad de detección por medio de antivirus o de otras soluciones basadas en firmas. Además, la multiplicidad de direcciones IP, de cuentas de correo electrónico de remitentes y de direcciones URL que se emplea en las campañas es por lo general legítima pero peligrosa.
Eso brinda de forma inherente características de buena reputación a los mensajes, lo cual les ayuda a evadir cualquier método de detección que se base en la reputación. Para prolongar el tiempo hasta que se detecten los ataques, los atacantes se asegurarán de que el sitio afectado entregue malware polimórfico en las máquinas de los usuarios. Cada usuario recibe una versión única del malware, lo cual en esencia menoscaba el valor de las nuevas firmas que se puedan crear al momento en que se empieza a detectar el ataque. ¿Cómo me puedo proteger? Debido a la complejidad del contenido y de la infraestructura afectada que por lo general se presenta en los ataques de palangre, es más probable que sea más eficaz combatir esas amenazas mediante el uso de soluciones de seguridad orientadas a macrodatos. Normalmente esas soluciones no dependen solamente de los controles de firmas y de reputación. La meta de la solución debería ser buscar patrones basados en tráfico histórico, analizar el nuevo tráfico en tiempo real y hacer predicciones en cuanto a las necesidades que necesiten analizarse en un servicio avanzado de detección de malware basado en la nube.
Busque una solución de seguridad que pueda identificar las campañas masivas personalizadas dirigidas a varias empresas al mismo tiempo, que capte las características exclusivas en todas ellas para formar un patrón y que aísle de forma proactiva esas amenazas para declarar el patrón malintencionado que pueda ayudar a aumentar la detección. Además, la solución de seguridad debe seguir un método que maneje los mensajes que logren pasar el filtro. Dado que los ataques de palangre tienen capacidad para enviar más de 800.000 mensajes por minuto, muchos de ellos llegan hasta los usuarios. La solución de seguridad debe ser capaz de reescribir las diversas direcciones URL contenidas en los mensajes, así como de aislar de forma predictiva las direcciones URL sospechosas, a fin de que se pueda bloquear a los destinatarios para que no lleguen al destino malintencionado una vez que la detección de malware avanzado haya confirmado la malicia de los sitios web de destino. Por lo general, con esto se minimiza el esfuerzo necesario para limpiar y corregir.