Un reciente experimento de phishing
llevado a cabo éticamente (Nuevo
estudio detalla la dinámica del phishing exitoso) imitando a
LinkeIn al enviar invitaciones por correo electrónico provenientes
de Bill Gates, ha conseguido un
100% de éxito en atravezar los filtros anti-spam contra los que
fue puesto a prueba.
El experimento enfatiza como las
campañas a baja escala de arpones de phishing son capaces
de traspasar los filtros anti-spam, y una vez más prueban que los
usuarios continuan interactuando
con correos electrónicos de phishing.
Más información de la metodología
usada:
“Este escenario fuen una invitación
desde Linkein, simulando ser una invitación de Bill Gates para unirse
a su red. Se eligió Linkedin por su disponibilidad, y por el hecho
de ser una red social reconocida por la mayoría de los ejecutivos.
Esta selección de Linkedin también se basó en el hecho que los
correos electrónicos de linkedin ya deberían ser identificados por
la mayoría de los sistemas de correo electrónico existentes, y esto
podría haber ayudado al envio a las casillas de correo. El enlace
del phishing puede ser identificado en el código HTML más abajo.El sitio de phishing se hizo en base a
la página de ingreso de Linkedin. La acción del formulario se
cambió para que el usuario fuera redirigido subsecuentemente a una
página en nuestro sitio. No se recolectaron nombres de usuario ni
contraseñas durante la evaluación. Todos los usuarios blanco de la
prueba fueron contactados antes que se les enviara el correo de
phishing, y estaban esperando una invitacion Linkedin de Bill Gates.”
Un estudio similar fue llevado a cabo
por el proveedor de phishing ético PhishMe.com
en marzo de este año, señalando que basado en los 32
escenarios de phishing probados contra 69.000 empleados, la gente
es menos precavida cuando hace clic en enlaces activos en los correos
que cuando les es requerida información sensible. Este
comportamiento no es sorprendente que sea citado por PhishCamp
como una posible oportunidad para introducir amenazas mixtas,
similares a los casos donde sitios de phishing
y scareware
también están sirviendo a exploits
del lado del cliente.
- Vea
los post relacionados: 419
scammers using Dilbert.com; 419
scammers using NYTimes.com ‘email this feature’; Fortune
500 companies use of email spoofing countermeasures declining;
Gmail, Yahoo and
Hotmail systematically abused by spammers.
Con el precio promedio en baja de mil
cuentas activas de Gmail, Yahoo Mail y Hotmail debido a la economía
de escala conseguida por los proveedores de servicios de resolución
de CAPTCHA, y las numerosas herramientas disponibles a disposición
de los spammers para aprovecharse de estas cuentas, a largo plazo
todos los spammers comenzarán a abusar
de la confianza ya establecida de DomainKeys entre la mayoría
de los proveedores populares de correo gratuito.
¿Cuál es la tasa de éxito del spam y
el phishing que llega a su bandeja de entrada? ¿Qué hay de su
correo corporativo? Además, ¿cree que el phishing ético es la forma
más constructiva de crear concientización respecto de los ataques
de phishing, o cree que eso impulsa la innovación en la direccion
equivocada al intentar conseguir métricas mediante clics en lugar de
aconsejar a los usuarios de evitar interactuar con tales correos en
general?
Traducción: Raúl Batista – Segu-info
Autor: Dancho Danchev
Fuente: Blogs ZDNet
View post:
Experimento de phishing elude todo los filtros anti-spam |