En campañas de phishing 2019, Office 365 entre los más vulnerables

Redacción26/06/2019

4 minutos de lectura

Por Mónica Velasco, directora de Marketing para SonicWall en América Latina

El phishing ha sido una amenaza grave desde principios de la década de 2000 y es considerado como el vector de ataque más común para los delincuentes cibernéticos.

Hoy en día, el phishing no se trata de volumen. Estas amenazas de correo electrónico ahora están sintonizadas para engañar a un objetivo de alto valor para que realice una acción deseada: hacer clic en un enlace malicioso, abrir un archivo cargado de malware, proporcionar una contraseña o autorizar transacciones financieras.

En la actual carrera cibernética, los actores de amenazas intentan constantemente sortear los sistemas de seguridad. En el contexto del correo electrónico como un vector de amenaza, el phishing ha evolucionado hacia los tipos de ataques Spear-phishing, suplantación y Business Email Compromise (BEC). Estos mensajes son altamente dirigidos con amplios esfuerzos de ingeniería social para seleccionar y estudiar cuidadosamente a la víctima.

A continuación se describen algunas de las tácticas comunes que los ‘phishers’ utilizan para robar credenciales, implementar malware, infiltrarse en redes y dañar marcas.

URL maliciosas y sitios web falsos o falsificados

Los delincuentes cibernéticos están recurriendo a métodos innovadores para ejecutar ataques dirigidos, como el uso de URL malicioso dentro del correo electrónico que lleva a sitios web de phishing con páginas de inicio de sesión falsas para robar los datos de inicio de sesión de los usuarios.

Se estima que se crean cerca de 1.5 millones de sitios de phishing cada mes. Y la detección de sitios de phishing se ha vuelto difícil porque los phishers están integrando las URL de phishing con múltiples redirecciones y abreviaturas de URL. Además, aproximadamente la mitad de estos sitios de phishing utilizan certificados HTTPS y SSL, lo que facilita que los ciberdelincuentes engañen a sus víctimas.

Según el Informe de Inteligencia de Seguridad de Microsoft, los atacantes utilizan cada vez más los sitios y servicios populares de intercambio de documentos y colaboración para distribuir contenido malicioso y formularios de inicio de sesión falsos que se utilizan para robar las credenciales de los usuarios.

Phishing dirigido a usuarios de Office 365

Los servicios de SaaS (Software como servicio, por sus siglas en inglés) y webmail son cada vez más objetivos de las campañas de phishing. Según el Anti-Phishing Working Group (APWG), el phishing dirigido a los servicios de SaaS y correo web se duplicó en el cuarto trimestre de 2018. Como Office 365 gana en adopción como la opción más popular de la plataforma de correo electrónico en la nube en organizaciones de todos los tamaños y verticales, no es de extrañar que Microsoft sea la marca más falsificada.

Esto no es inconcebible porque una suscripción de Office 365 está disponible para cualquier persona con una tarjeta de crédito, lo que hace que sus características de seguridad sean accesibles para los delincuentes cibernéticos. Esto teóricamente permite a los grupos criminales diseñar campañas de phishing que pueden evadir las defensas nativas de Microsoft. De hecho, en otro informe, los investigadores encontraron que el 25% de los correos electrónicos de suplantación de identidad (phishing) pasan por alto la seguridad de Office 365.

Credenciales comprometidas

En enero de 2019, el investigador de seguridad Troy Hunt descubrió la «Colección 1», un tesoro de 773 millones de direcciones de correo electrónico y 21 millones de contraseñas disponibles para la venta en el Foro Hacker. Estas combinaciones de usuarios y contraseñas se utilizan para llevar a cabo ataques desde el interior.

Un ataque común incluye la adquisición de cuentas que involucra a actores de amenazas que comprometen las credenciales corporativas de los empleados, ya sea lanzando una campaña de phishing contra una organización o comprando credenciales en Darkweb debido a fugas de datos de terceros. El ciber delincuente puede usar las credenciales robadas para obtener acceso adicional o aumentar los privilegios. Las credenciales comprometidas pueden permanecer sin ser descubiertas por meses o años.

Suplantación, fraude como CEO y correo electrónico empresarial comprometido (BEC)

De acuerdo con el FBI, Business Email Compromise, o BEC, es una estafa dirigida a empresas que trabajan con proveedores extranjeros y/o empresas que realizan regularmente pagos mediante transferencia bancaria. Estas estafas sofisticadas son realizadas por estafadores que comprometen cuentas de correo electrónico mediante ingeniería social o técnicas de intrusión informática para realizar transferencias de fondos no autorizadas. Es difícil detener estos tipos de ataques porque no contienen enlaces o archivos adjuntos maliciosos, sino un mensaje a la víctima de un remitente de confianza solicitando la transferencia de fondos.

El Centro de Quejas por Internet (IC3) del FBI informó el verano pasado que, desde octubre de 2013 hasta mayo de 2018, las pérdidas totales en todo el mundo por estafas conocidas de BEC alcanzaron los 12.5 mil millones de dólares.

Archivos PDF maliciosos y documentos adjuntos de Office

Los archivos adjuntos de correo electrónico son un mecanismo de entrega popular para cargas maliciosas, como ransomware y malware como nunca se había visto. Los investigadores de amenazas de SonicWall Capture Labs encontraron recientemente un aumento sustancial de archivos PDF maliciosos o fraudulentos. Estas campañas de fraude aprovechan la confianza de los destinatarios en los archivos PDF como un formato de archivo «seguro» que se usa ampliamente y se utiliza para las operaciones comerciales.

[email protected]