La función principal OPSWAT Proactive DLP Prevención de pérdida de datos) es detectar y proteger los datos sensibles y confidenciales frente a posibles filtraciones. Con unos pocos ajustes en la configuración, también puedes aprovechar la tecnología OCR (reconocimiento óptico de caracteres) integrada en Proactive DLP ayudar a detectar contenido de phishing en imágenes.
¿Qué es el phishing?
El phishing es un delito cibernético en el que los atacantes se hacen pasar por una persona u organización legítima para «engañar» a víctimas vulnerables y que estas realicen una acción (por ejemplo, hacer clic en un enlace, instalar un archivo adjunto malicioso o conceder a los atacantes acceso a su ordenador o a la red de su organización) con el fin de robar información confidencial.
El correo electrónico es el canal más habitual para el phishing. Los ciberdelincuentes envían mensajes fraudulentos con un lenguaje atractivo para ganarse la confianza del destinatario y, finalmente, incitarlo a realizar acciones perjudiciales.
Phishing mediante macros en Microsoft Office
Las macros son uno de los vectores de ataque más habituales que utilizan los ciberdelincuentes. En este blog hemos hablado de cómo los ciberdelincuentes aprovechan las macros de Excel 4.0 para ocultar malware.
La cadena de ataque suele comenzar con un correo electrónico. En primer lugar, el atacante envía un correo electrónico engañoso que aparenta proceder de una fuente fiable. Este correo suele contener un documento adjunto con una macro maliciosa incrustada. En cuanto la víctima abre el documento y activa la macro, se inicia inmediatamente la descarga del malware y se pone en marcha el proceso de infección.
Cuando descargas un archivo de Word (.doc) de Internet, se abre automáticamente en el modo de vista protegida. Este modo aísla el contenido web poco fiable para reducir el riesgo de abrir sin querer malware, spyware o cualquier código potencialmente dañino.
La vista protegida te permite leer el archivo sin ejecutar ningún posible malware oculto. Si estás seguro de que el archivo es seguro y deseas realizar cambios, puedes hacer clic en «Habilitar edición». Si el archivo contiene macros, aparecerá otro control de seguridad. Microsoft Office te pedirá que autorices o no el contenido mediante el botón «Habilitar contenido».
Por un lado, los ciberdelincuentes han desarrollado tecnologías de explotación de macros capaces de eludir las defensas de seguridad, como el código ofuscado, el «stomping» o los archivos protegidos con contraseña. Por otro lado, han tenido que aumentar la credulidad de sus víctimas haciéndoles creer que es imprescindible hacer clic en «Habilitar edición» y «Habilitar contenido». Mensajes como «Por favor, habilita la edición y el contenido para ver este documento» logran cumplir con éxito esta estrategia.
Esta táctica de ingeniería social es sencilla pero eficaz para la distribución de malware y cargas maliciosas, hasta tal punto que se utilizó como método avanzado de evasión de detectores para el «stomping» de VBA o como principal vía de distribución de Emotet, el malware más peligroso del mundo.
Uso del reconocimiento óptico de caracteres para detectar imágenes de phishing
OPSWAT Proactive DLP es compatible con el OCR (reconocimiento óptico de caracteres), lo que puede ayudar a bloquear documentos de phishing. La tecnología combina el OCR con expresiones regulares (RegEx) y palabras clave para detectar palabras clave de phishing en las imágenes.
El OCR es una tecnología muy extendida que se utiliza para reconocer texto en imágenes. Analiza y extrae datos de textos manuscritos o impresos —ya sea de un documento escaneado o de una imagen— y, a continuación, convierte el texto a un formato legible por máquina que puede utilizarse posteriormente para el procesamiento de datos. Cuanto más avanzado es el sistema de OCR, mayor es la precisión de reconocimiento que ofrece.
A continuación se muestra un ejemplo de la Proactive DLP en OPSWAT MetaDefender Core. En la sección «Buscar expresiones regulares», puede utilizar el campo «RegEx» para introducir posibles palabras clave de phishing, y añadir cualquier otra palabra clave relevante (por ejemplo, «descifrar», «protegido») en el campo «Palabras clave» para reducir los falsos positivos.
Si el archivo contiene alguna palabra clave relacionada con el phishing, se bloqueará. A continuación se muestra el resultado de la prueba:
OPSWAT Proactive DLP
OPSWAT Proactive DLP detecta y censura automáticamente los datos sensibles y confidenciales en archivos y correos electrónicos, incluidos números de tarjetas de crédito, números de la Seguridad Social, direcciones IPv4, CIDR (enrutamiento entre dominios sin clases) o cualquier expresión regular personalizada. Gracias a la integración del OCR, Proactive DLP ayuda a bloquear documentos de phishing y a marcar la información de identificación personal (PII) en imágenes y archivos PDF no buscables.
Nuestra tecnología también facilita el cumplimiento de las normativas de protección de datos y los requisitos de seguridad estándar del sector, como PCI, HIPAA, Gramm-Leach-Bliley, FINRA y otros. Proactive DLP una tecnología clave en muchos OPSWAT : MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosky MetaDefender Managed File Transfer MFT).
Para obtener más información sobre Proactive DLP sobre cómo OPSWAT proteger a su organización,póngase en contacto con unode nuestros expertos en ciberseguridad para infraestructuras críticas.
