Cómo los ciberdelincuentes usan Microsoft Sway para lanzar ataques de phishing


Los atacantes están creando sitios de phishing desde Sway, un enfoque efectivo ya que los enlaces para el dominio generalmente son confiables, dice la firma de seguridad Avanan.

¿Por qué la ciberseguridad es un gran problema para las pequeñas empresas?
Los ataques de ciberseguridad pueden paralizar a las pequeñas empresas que no están preparadas. Karen Roby de TechRepublic habla con un experto en seguridad sobre ransomware, ataques de phishing y planes de defensa de TI inadecuados.

Es posible que no esté familiarizado con Microsoft Sway o al menos nunca lo haya usado. Pero los cibercriminales han estado explotando esta aplicación web para enviar correos electrónicos de phishing a víctimas desprevenidas, según un nuevo informe de Avanan.

Disponible en La web y como Aplicación de Windows 10, Microsoft Sway le permite crear presentaciones, boletines y documentación completa con fotos, videos y otros medios. Luego, puede publicar su presentación en la Web a través de un enlace para compartir en el que cualquiera puede hacer clic para verla.

Sin embargo, incluso si su organización no usa este software, aún puede ser vulnerable a los ataques de phishing alojados desde Sway, según Avanan. Así es cómo.

Al crear y publicar una página de Sway en sway.office.com, los delincuentes pueden diseñar páginas de destino que parezcan legítimas pero que en realidad contengan contenido malicioso. Dado que las páginas están alojadas en el propio dominio Sway de Microsoft, los filtros de URL confían automáticamente en las páginas y sus enlaces y pueden engañar fácilmente a los usuarios para que piensen que son válidos.

VER: Ataques de phishing: una guía para profesionales de TI (PDF gratuito) (TechRepublic)

Si inicia sesión en un sitio de Sway con una cuenta de Office, estas páginas aparecen con el estilo y los menús de Office 365 para que parezcan más convincentes. Una página de Sway maliciosa puede incluir marcas de confianza afiliadas a Microsoft, como un logotipo de SharePoint. Dicha página generalmente muestra una URL tentadora que invita al usuario a hacer clic en ella, pero luego descarga malware o activa una página de inicio de sesión falsificada.

Para convencer a las víctimas potenciales de que accedan a una página de phishing maliciosa de Sway, los ciberdelincuentes enviarán correos electrónicos con notificaciones de correos de voz o faxes, con la esperanza de que los usuarios desprevenidos hagan clic en el enlace o la imagen.

TechRepublic contactó a Microsoft para obtener comentarios. El año pasado, la compañía se lanzó detección de phishing a Microsoft Forms, un producto en línea que permite a las personas crear encuestas, cuestionarios y encuestas.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/01/10/9f423fb9-bf52-4385-a4c0-c0c5a30d28e2/resize/770x/2e8fbc7c351166eb86da4160b853c7eb/sway-phan-page-sway-phan-page .jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Imagen: Avanan "rel =" noopener noreferrer nofollow ">sway-phishing-page-avanan.jpg

Imagen: Avanan

En un ejemplo citado por Avanan, se envió un correo electrónico de phishing desde una dirección de correo electrónico de onmicrosoft.com. Debido a que Microsoft confía en el dominio, este correo electrónico puede evitar los filtros básicos de suplantación de identidad. El tipo correcto de marca y buscar el correo electrónico convence a los usuarios de que contiene un fax legítimo.

Una fecha reciente al lado del texto "Fax recibido a las" sugiere que se trata de un ataque sofisticado ya que agregar una marca de tiempo hace que el correo electrónico falsificado parezca urgente e importante.

La imagen de vista previa del fax en sí parece demasiado importante para ignorarla. Dos enlaces en el correo electrónico al supuesto servicio de fax y fax apuntan a sway.office.com.

Incluso si la víctima prevista no usa Sway, es probable que esa persona confíe en cualquier correo electrónico de office.com. Microsoft mismo confía en los dominios Sway y Office, por lo que esta URL pasará a escondidas la configuración de Safe Link. Otros enlaces en el correo electrónico apuntaban a LinkedIn, otro sitio confiable.

Este tipo de ataque de phishing puede tener éxito porque envía a los usuarios a una página de confianza alojada por Microsoft en lugar de un sitio web comprometido que probablemente estaría bloqueado por navegadores web y listas negras.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/01/10/aeb12a32-3c16-4391-84a5-f65ff3577da4/resize/770x/8cf518eb9b7b8c9922e7a1be5662b096/sway-phishing-page-example -avanan.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Imagen: Avanan "rel =" noopener noreferrer nofollow ">sway-phishing-page-example-avanan.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/01/10/aeb12a32-3c16-4391-84a5-f65ff3577da4/resize/770x /8cf518eb9b7b8c9922e7a1be5662b096/sway-phishing-page-example-avanan.jpg

Imagen: Avanan

Cómo protegerte

Los clientes de Avanan que fueron blanco de este ataque de phishing de Sway recibieron el mismo mensaje de diferentes remitentes. Debido a que los delincuentes usan múltiples remitentes y dominios, ponerlos en la lista negra no funcionará.

En cambio, muchos clientes simplemente han incluido en la lista negra sway.office.com en sus filtros web. A menos que su organización use activamente Sway, su mejor opción es hacer lo mismo y bloquear los enlaces de este dominio.

En su extremo, Microsoft hace ofrecer formas que puede enviar mensajes de spam o phishing que pasaron por sus filtros de spam.

Ver también

is-windows-10-still-telling-microsoft-wh-5c112ff160b276b15a3307f1-1-dic-18-2018-11-30-13-poster.jpg "src =" https://tr1.cbsistatic.com/hub/i / r / 2018/12/19 / 799cda0c-af2b-48d8-b544-e67c634e23b6 / resize / 770x / c952958a7beaf1143c380f10fc18bcea / is-windows-10-still-telling-microsoft-wh-5c112ff160b276b15a3307 -30-13-poster.jpg



Enlace a la noticia original