Use un buzón profesional comprometido para engañar a la vigilancia de los colegas de la víctima inicial. En resumen, es la definición de phishing lateral, un fenómeno particularmente preocupante para las grandes empresas, que constituyen objetivos privilegiados para este tipo de ataque, según un estudio realizado por el proveedor de soluciones de seguridad de Barracuda sobre la base de los datos actuales de junio de 2023 a mayo de 2024.

En promedio, una gran organización, con más de 2,000 buzones, recibió casi 7,500 amenazas de phishing durante los 12 meses estudiadas. En estructuras pequeñas, con menos de 100 buzones, este promedio cae a alrededor de 180. Sobre todo, la estructura misma de estos ataques dirigidos es diferente, como señala Barracuda en un blog. "Las pequeñas empresas tienden a tener estructuras organizativas más planas, con un acceso más fácil a los nombres de los empleados o los datos de contacto. Esto significa que los atacantes pueden apuntar a una amplia gama de empleados", escriben los autores del estudio. En este tipo de estructura, el phishing directo representa el 71% de los ataques dirigidos por correo electrónico, mientras que el phishing lateral solo pesa el 7% del total.

Operar la libreta de direcciones y las listas de distribución

La observación es bastante diferente en las grandes empresas, donde es el phishing lateral (con el 42% del total) que representa la amenaza N ° 1, por delante de un phishing más clásico (41%). Para Barracuda, esto se explica en particular por el hecho de que muchos datos de identificación de cuentas de correo electrónico de grandes empresas están disponibles para su compra en la web oscura. Para los piratas, un camino práctico para constituir una primera violación, para luego explotar la libreta de direcciones de la víctima, las listas de distribución y los canales de comunicación de otra compañía. Las palancas ideales para "difundir rápidamente los mensajes maliciosos dentro de la organización escondiéndose en el importante tráfico de red interna", según Barracuda.

Sin mencionar el hecho de que, obviamente, es más probable que los empleados confíen en los mensajes que parecen provenir del interno, incluso cuando no conocen directamente al remitente. Según Barracuda, los ataques de phishing lateral rara vez se dirigen. California explica que los atacantes prefieren el enfoque de "rociar y rezar" (literalmente, difundir y rezar), apostando grandes volúmenes de mensajes enviados desde la caja de compromiso para engañar a los nuevos objetivos.