Embedded Files
Post date: Jun 5, 2011 11:01:38 AM
Intento de fraude por suplantación de correo electrónico dirigido contra una organización específica, buscando el acceso no autorizado a datos confidenciales, probablemente llevado a cabo por autores con ánimo de lucro, secretos comerciales o información militar.
Generalmente los mensajes parecen provenir de un usuario confiable de dentro de la misma organización que la víctima, usualmente con posición de autoridad.
Para dar validez al mensaje, generalmente se incluye información verídica y en algunos casos información confidencial producto de un ataque previo.
Un ataque por engaño informado incluye tres elementos: los mensajes supuestamente provienen de una persona confiable, los mensajes contienen información que no todo el mundo maneja y la solicitud de información parece tener una base real.
Recientemente, algunos usuarios de Gmail fueron víctimas de este tipo de ataque, cuyo objetivo fue copiar los mensajes de la cuenta de correos y configurarla para reenviar una copia de cada mensaje entrante hacia otra dirección de correo. Este ataque pareció estar dirigido desde una región de China contra activistas por los derechos humanos de ese país.
Días antes una empresa de seguridad (que no aplicaba los consejos que daba en sus auditorías) fue víctima de un robo de información colosal. Con un ataque de tipo Inyección SQL obtuvieron la lista de usuarios y sus claves encriptadas. Rápidamente, se descifraron algunas de las claves más sencillas y entraron usando falsas identidades. A continuación recopilaron información confidencial con la que engañaron a un administrador para que creara un acceso a una cuenta de trabajo en un servidor y finalmente, con una cuenta con derechos de administración los atacantes pudieron hacer todo el daño que quisieron.
Enlaces relacionados
Spear-phishing isn't just a Spam scam; it's sophisticated, it's espionage and it's effective By Kevin Fogarty June 02, 2011, 5:15 PM
Spear phishing, Search Security
Cursos relacionados
Sinónimos : engaño informado
Traducciones:
Idioma
inglés
Sinónimos
spear phishing
Definición
An e-mail spoofing fraud attempt that targets a specific organization, seeking unauthorized access to confidential data, probably conducted by perpetrators out for financial gain, trade secrets or military information.
Fuente: Omegawiki
Google Sites
Report abuse