Campaña de suplantación de identidad (phishing) atrapada engañando Zoom


La campaña se hace pasar por correos electrónicos de Zoom, pero roba las credenciales de la cuenta de Microsoft de sus víctimas, dice la firma de seguridad Irregular Security.

A medida que las personas se han visto obligadas a trabajar desde casa debido al brote de coronavirus, ha habido un aumento en el uso de programas de reuniones virtuales para mantenerse en contacto con colegas y compañeros de trabajo. Los ciberdelincuentes han estado felices de explotar todos los aspectos de la coronavirus, y eso incluye este movimiento hacia el trabajo remoto. UNA nueva campaña de phishing detectada por Abormal Safety aprovecha la popularidad de Zoom para intentar capturar las credenciales de cuenta de usuarios desprevenidos.

VER: Conciencia de seguridad y política de capacitación (TechRepublic Quality)

Imitando una notificación de Zoom serious, el correo electrónico de phishing inicial les dice a los destinatarios que recientemente se perdieron una reunión programada. El correo electrónico contiene un enlace que promete más detalles y una grabación de la reunión. Para dar legitimidad, el mensaje está formateado con el nombre de usuario de la víctima potencial, mientras que el enlace también contiene el nombre de usuario. Para agregar un sentido de urgencia, el correo electrónico indica que Zoom mantendrá el mensaje solo por otras 48 horas.

Al hacer clic en el enlace, el usuario accede a una página de destino maliciosa alojada en «zoom – ##### – net.application» (el # firma todos los cambios entre ataques). Al suplantar una página de inicio de sesión de Microsoft authentic, la página de inicio pide a los usuarios que inicien sesión con sus credenciales de cuenta de Microsoft para acceder a la información de la reunión de Zoom. La página de inicio de sesión muestra el nombre de la organización del usuario y el nombre de Zoom sobre la ubicación de inicio de sesión. Si la persona inicia sesión, el atacante roba las credenciales de su cuenta de Microsoft.

Aunque la campaña está falsificando Zoom, la intención true es robar información de la cuenta de Microsoft, que los delincuentes pueden usar para acceder a un tesoro de información confidencial. Los atacantes intentan ocultar su ubicación utilizando una variedad de fuentes VPN. Pero, en todos los ataques analizados, los correos electrónicos parecían similares, los mensajes se enviaron durante un corto período de tiempo y todos usaron los mismos servicios VPN. Esas pistas llevaron a Seguridad anormal a creer que todos habían sido ataques coordinados por el mismo individuo o grupo.

A medida que las personas que trabajan desde casa saltan de una reunión digital a otra, las notificaciones e invitaciones a reuniones se han generalizado. Como tal, las personas que reciben estos correos electrónicos de suplantación de identidad (phishing) pueden seguir el enlace de forma automática e inconsciente e iniciar sesión con sus credenciales de cuenta de Microsoft.

¿Cómo pueden las personas protegerse de los correos electrónicos de phishing que se hacen pasar por Zoom? Ken Liao, vicepresidente de estrategia de ciberseguridad en Abnormal Safety, ofrece los siguientes consejos:

  1. Siempre verifique dos veces la autenticidad de cada enlace: ¿Es la URL en el enlace algo que esperaría según el contexto del correo electrónico? Vemos a muchos atacantes que aprovechan los redireccionamientos o enlaces no relacionados para evitar las falsas herramientas de seguridad de correo electrónico que buscan enlaces maliciosos. Vemos a muchos atacantes que alojan páginas de destino en URL completamente no relacionadas que parecen haber secuestrado y controlado.
  2. Asegúrese de que las invitaciones de Zoom provienen de fuentes confiables.
  3. Evite iniciar sesión desde los enlaces proporcionados en los correos electrónicos. En su lugar, inicie sesión directamente en Zoom del sitio.

Ver también



Enlace a la noticia unique