Los ciberatacantes están entregando malware utilizando enlaces de sitios incluidos en la lista blanca


Los enlaces de aspecto legítimo de OneDrive, Google Push, iCloud y Dropbox se deslizan por medidas de seguridad estándar.

El ingeniero social de IBM hackeó fácilmente la información de dos periodistas
Un miembro del equipo X-Force Red de IBM pirateó a dos reporteros de CBS durante tres semanas. Descubra qué información recopiló, así como qué implica el phishing.

Los malos actores han agregado una nueva trampa a su bolsa de trucos de ingeniería social: enlaces maliciosos de OneDrive, Google Drive, iCloud y Dropbox. Un nuevo documento técnico de Menlo Protection «¿Es SaaS el nuevo caballo de Troya en la period de la nube?» describe este último vector de ataque.

Los enlaces a estos sitios legítimos a menudo pueden deslizarse por medidas de seguridad estándar que detienen el malware y bloquean el acceso a sitios sospechosos. Muchos de estos servicios están incluidos en la lista blanca por productos de seguridad porque son servicios aprobados, lo que significa que una empresa tiene pocas o ninguna defensa contra estos ataques avanzados. Estos servicios son la última táctica diseñada para engañar a los usuarios para que divulguen sus credenciales o, sin saberlo, descarguen e instalen malware.

VER: Cómo conseguir usuarios a bordo con medidas de seguridad esenciales (PDF gratis)

Como funciona el ataque

Primero, un atacante aloja un documento malicioso en una cuenta de almacenamiento en la nube como un archivo sin formato o Zip. El siguiente paso es compartir el documento, que podría verse como una factura, declaración de trabajo o contrato, con usuarios específicos. El correo electrónico está diseñado para coincidir con las responsabilidades laborales del individuo y parece legítimo.

Una vez que se abre el documento, se alienta a los usuarios a hacer clic en un enlace que los lleva a un formulario world wide web falso donde se les solicita que proporcionen sus credenciales. Estas credenciales robadas crean otro vector de amenaza para robar información o acceder a otros sistemas comerciales.

El relleno de credenciales es una de las formas más comunes en que los piratas informáticos roban datos. Los malos actores usan credenciales (nombres de usuario y contraseñas) robados de un sitio internet para intentar ingresar a las páginas de inicio de sesión de otros sitios world wide web para obtener acceso no autorizado a las cuentas. Esto funciona bien debido al hábito humano de usar la misma contraseña en muchas cuentas.

Estos enlaces maliciosos también pueden enviar malware a la máquina del usuario para permitir a los atacantes controlar el dispositivo para propagar malware a otros sistemas.
Según la investigación de Menlo, Microsoft OneDrive solo representó el 90% de todos los ataques que usaron almacenamiento personalized en línea. Estos enlaces a menudo omiten las capas de seguridad tradicionales, como el proxy, y se conectan directamente a Microsoft. Esta conexión directa significa que los usuarios tienen acceso más rápido al correo electrónico y descargas de archivos adjuntos, pero también crea una entrada sin protección a la pink corporativa.
Para evitar este problema de seguridad, Microsoft recomienda capacitación de usuarios eso ayuda a las personas a identificar enlaces incorrectos, como pasar el cursor sobre un enlace para ver la URL genuine y observar errores tipográficos y errores ortográficos.

Garantizando 100% de seguridad

En RSA 2020, Menlo anunció $ 1 millón a cualquiera de los clientes de la compañía que experimente una infección por malware. Kowsik Guruswamy, director de seguridad de Menlo, dijo que puede hacer una promesa tan costosa porque la compañía tiene plena fe en su estrategia de aislamiento. En lugar de utilizar motores de detección para detectar sitios net peligrosos, Menlo proporciona a los clientes un navegador en la nube que protege a las empresas de amenazas de seguridad conocidas.

«Hemos descubierto una manera de tomar lo que ve el navegador aislado y reflejarlo en el navegador community», dijo.

Guruswamy dijo que el enfoque de aislamiento protege a las empresas de las soluciones alternativas de los usuarios y les permite a los usuarios mantener el acceso a herramientas familiares. Utilizó el ejemplo de los médicos que necesitan verificar una cuenta de Gmail mientras están en el hospital.

«Muchos médicos tienen pacientes fuera del medical center que necesitan controlar, pero muchos hospitales bloquean Gmail», dijo.

Guruswamy dijo que el aislamiento es la única forma de lograr verdaderamente la confianza cero.
«Nuestra opinión es que lo que mucha gente llama confianza cero es más como confianza condicional», dijo. Al suponer que todo el tráfico es arriesgado y ejecutar todo el código del navegador en la nube, eso crea una brecha de aire virtual entre World wide web y la empresa.

Menlo ha aplicado el mismo enfoque al correo electrónico creando una puerta de enlace que se integra con Workplace 365. Antes de que un enlace aterrice en una bandeja de entrada, la puerta de enlace cambia el enlace para ejecutarlo a través del proxy en la nube. El software no analiza el enlace hasta que un usuario hace clic en él.

«El enlace pasa por nuestro navegador aislado y permitimos que los administradores pongan toda la página website en modo de solo lectura», dijo. «Si no puede escribir su correo electrónico y contraseña, no puede ser phishing».

Ver también

screen-shot-2020-03-08-at-8-37-17-pm.png "src =" https://tr3.cbsistatic.com/hub/i/r/2020/03/09/74a468b4-1daa -48bd-9683-e77312d6908d / resize / 770x / 2cf055cd2ef5466176495c0ca228a87e / screen-shot-2020-03-08-at-8-37-17-pm.png

Un informe de Menlo Security informa que los malos actores colocan contenido malicioso en DropBox y OneDrive y utilizan la ingeniería social para engañar a los usuarios para que instalen malware.

Imagen: Menlo Security



Enlace a la noticia original