Los ataques de phishing engañan a los equipos de Microsoft para robar credenciales de usuario


Los atacantes están explotando el aumento en el uso de los equipos de Microsoft en un intento de atrapar a los usuarios desprevenidos, dice Seguridad anormal.

Los ciberdelincuentes han aprovechado prácticamente todos los aspectos del coronavirus para tratar de aumentar el negocio. Entre otras consecuencias, la necesidad de poner en cuarentena y trabajar desde casa ha provocado un aumento en la demanda de aplicaciones de reunión virtual y chat de video clip, incluidos los equipos de Microsoft orientados a los negocios. Una nueva campaña de phishing descubierta por el proveedor de seguridad Abnormal Safety está explotando el mayor uso de Groups como una forma de secuestrar las credenciales de la cuenta de Microsoft.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic High quality)

en un publicación de site publicada el viernes, Seguridad anormal encontró una serie de correos electrónicos convincentes diseñados para falsificar mensajes de notificación de equipos de Microsoft.

En una campaña, el correo electrónico de phishing incluye un enlace a un documento en un dominio utilizado por un proveedor legítimo de internet marketing por correo electrónico para alojar contenido para campañas de advertising and marketing. En el documento hay una imagen que solicita a los usuarios iniciar sesión en su cuenta de Microsoft Teams. Pero, si alguien hace clic en esta imagen, aparece una página maliciosa que se hace pasar por el sitio de inicio de sesión de Microsoft Place of work con el fin de capturar las credenciales del usuario.

En otra campaña, el usuario es redirigido a una página alojada en YouTube y luego es redirigido dos veces más hasta llegar a una página de Microsoft phishing para credenciales de inicio de sesión. Los atacantes usan múltiples redireccionamientos de URL tanto para ocultar la URL actual como para tratar de evadir el filtrado de enlaces maliciosos empleados por los productos de seguridad de correo electrónico.

phishing-emails-microsoft-teams-anormal-security.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/05/01/643b9b11-3c44-4a59-8269-6c1c1903aa5e/resize /770x/2bbea01d317b22252eb5d5dfe7e2754e/phishing-emails-microsoft-teams-abnormal-security.jpg

Imagen: Seguridad anormal

La primera campaña comenzó el 14 de abril y continuó durante dos días, pero no lo ha sido desde entonces, según Kenneth Laio, vicepresidente de Estrategia de Seguridad Cibernética de Seguridad Anormal. La segunda campaña comenzó el 29 de abril, duró unas pocas horas y no se ha registrado desde entonces.

Los correos electrónicos de phishing se enviaron a clientes anormales en industrias como la energía, el comercio minorista y la hospitalidad, dijo Laio. Sin embargo, los ataques no estaban dirigidos a ninguna empresa o industria específica y, de hecho, fueron diseñados de manera genérica para que pudieran lanzarse contra cualquiera.

Las páginas de destino que alojan las páginas de phishing se crearon para parecerse a las páginas reales de Microsoft. Las imágenes se copiaron de notificaciones y correos electrónicos reales de Microsoft, de acuerdo con Seguridad anormal. Además, el correo electrónico del remitente proviene de un dominio llamado «sharepointonline-irs.com», que puede parecer legítimo a primera vista, pero no está registrado ni por Microsoft ni por el IRS.

Las imágenes pueden ser especialmente convincentes en un dispositivo móvil donde ocupan la mayor parte del contenido en la pantalla. Además, los usuarios que están acostumbrados a las notificaciones de Microsoft y otros proveedores podrían no investigar los mensajes y simplemente morder el anzuelo. Dado que Microsoft Teams está vinculado a Microsoft 365 y Workplace 365, cualquier credencial robada en la estafa podría usarse para iniciar sesión en otras cuentas y servicios de Microsoft.

Para ayudar a las organizaciones a defenderse a sí mismas y a sus empleados de estas estafas de phishing de los equipos de Microsoft, Laio ofrece dos consejos.

«Aconsejaríamos a las organizaciones y a sus empleados que verifiquen dos veces el nombre y la dirección del remitente en busca de mensajes o notificaciones provenientes de los equipos de Microsoft», dijo Laio. «Para ambas campañas, los nombres de los remitentes son inocuos (&#39contenido de chat&#39 y &#39flujo de trabajo&#39), pero las direcciones de correo electrónico desde las que se envían no tienen relación con Microsoft, Microsoft Teams o la propia organización.

«Además, aconsejaríamos a todos que verifiquen siempre la URL de la página web antes de iniciar sesión. Los atacantes a menudo ocultan enlaces maliciosos en redirecciones o los alojan en sitios internet separados a los que se puede acceder mediante enlaces seguros. Esto les permite evitar el escaneo de enlaces dentro de correos electrónicos por soluciones tradicionales de seguridad de correo electrónico «.

Ver también

Botón PHISHING en el teclado de la computadora "src =" https://tr4.cbsistatic.com/hub/i/r/2020/03/26/c856d292-af76-4dda-a5af-b9ec79dc2300/resize/770x/7f3e8f2b2d1b6ef936cd9587f8c6ad4c/istock-1136 .jpg

Imagen: Getty Images / iStockphoto



Enlace a la noticia authentic