La empresa Proofpoint publicó un amplio estudio en el que se identifica una nueva clase de ataque de phishing sofisticado, efectivo y a gran escala denominado "longlining" (referencia a la pesca con palangre). Este ataque debe su nombre a la práctica industrial de pesca utilizando líneas de pesca de kilómetros de largo con miles de anzuelos individuales, combinando las exitosas tácticas del phishing dirigido y de la personalización en masa.

Utilizando estas técnicas, los atacantes son capaces de distribuir rápidamente miles de mensajes cargados con malware que son indetectables, en su mayoría, por sistemas de seguridad basados en firmas o en reputación. Pero a pesar de su escala, estos ataques en masa fueron lo suficientemente efectivos para hacer que 10% de los destinatarios dieran clic en contenido malicioso capaz de tomar control total de sus computadoras y de comprometer redes corporativas.

Phishing haciendo uso de la personalización en masa

A diferencia de los ataques masivos de phishing convencionales, los "anzuelos" (mensajes de correo electrónico) utilizados en ataques longlining son más variables, haciéndolos menos detectables.

Los mensajes varían en dirección IP origen, asunto y contenido. En el cuerpo del mensaje también suele cambiar una URL que dirige a algún sitio con reputación positiva que ha sido exitosamente comprometido antes del ataque. Los sitios web destino han sido cargados con malware oculto antes, durante o algunas veces después de que el ataque haya comenzado.

A través del uso de un conjunto de equipos previamente comprometidos y de la automatización del proceso para introducir variabilidad, los atacantes han sido capaces de combinar las técnicas de ocultación y contenido malicioso de los ataques dirigidos con distribución masiva en paralelo. Esto significa que pueden enviar eficientemente 10 mil o incluso 100 mil mensajes individuales de phishing dirigido, todos capaces de traspasar la seguridad tradicional. La habilidad de los atacantes para distribuir miles de "anzuelos" mediante URLs maliciosas hace posible que el envío de correos electrónicos suceda en cuestión de horas, una mejora considerable en las posibilidades de éxito y en la habilidad de los atacantes de explotar vulnerabilidades de día cero antes de que las compañías tengan tiempo de actualizar sus sistemas vulnerables.

Alarmantemente efectivos

A pesar de su tamaño relativamente grande, los ataques longline han sido alarmantemente efectivos:

• 10% de los mensajes de correo electrónico conteniendo URLs maliciosas que traspasaron la detección perimetral, fueron visitadas por los empleados receptores.
• Todos los ataques longline utilizaron técnicas de descarga no autorizada desde sitios web comprometidos.
• Casi uno de cada cinco clics (19%) sobre URLs maliciosas incrustadas en correos electrónicos ocurrió fuera de la red corporativa, cuando los empleados accedieron a su correo desde casa, en la carretera o mediante dispositivos móviles, fuera de la protección perimetral de su empresa.