Google, las marcas más falsas de Microsoft en los últimos ataques de phishing


Los estafadores están explotando cada vez más sitios para compartir archivos como Google Docs y Microsoft Sway para robar credenciales de usuario, según Barracuda Networks.

Las campañas de phishing pueden engañar incluso a usuarios experimentados e inteligentes al hacerse pasar por compañías, marcas y productos conocidos. A medida que las organizaciones confían cada vez más en herramientas de colaboración y uso compartido de archivos basadas en la nube, compañías como Google y Microsoft son objetivos especialmente tentadores para que los delincuentes se burlen. UNA reporte publicado el jueves por la firma de seguridad Barracuda Networks muestra cómo funcionan estos tipos de ataques y cómo las organizaciones pueden combatirlos.

En los ataques de phishing basados ​​en formularios, los estafadores aprovechan sitios como Google Docs y Microsoft Sway para atrapar a las víctimas y revelar sus credenciales de inicio de sesión. El correo electrónico de phishing inicial generalmente contiene un enlace a uno de estos sitios legítimos, por lo que estos ataques pueden ser difíciles de detectar y prevenir.

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (PDF gratuito) (TechRepublic)

Entre los casi 100,000 ataques basados ​​en formularios que Barracuda detectó durante los primeros cuatro meses de 2020, los sitios de almacenamiento y uso compartido de archivos de Google se usaron en el 65% de ellos. Estos ataques incluyeron sitios como storage.googleapis.com, docs.google.com, storage.cloud.google.com y drive.google.com. Las marcas de Microsoft fueron falsificadas en el 13% de los ataques, explotando sitios como onedrive.live.com, sway.office.com y types.business.com. Más allá de Google y Microsoft, otros sitios falsificados en estos ataques fueron sendgrid.internet, mailchimp.com y formcrafts.com.

En su informe, Barracuda describió tres tácticas utilizadas por los atacantes en estas campañas de phishing en certain.

Usar sitios legítimos como intermediarios.. En este caso, los delincuentes intentan falsificar correos electrónicos que parecen haberse creado automáticamente a través de sitios para compartir archivos como Microsoft OneDrive. Los correos electrónicos contienen enlaces que llevan a los usuarios a un sitio legítimo como sway.place of work.com. Pero ese sitio luego lleva a la víctima a una página de phishing que solicita credenciales de inicio de sesión.

amenaza-foco-táctica-1-barracuda.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/28/e372d1f1-98a9-47dc-abd6-d201a72e66c0/resize/770x /0b0ee2a0d5ecead81875e29bd0d0557a/threat-spotlight-tactic-1-barracuda.jpg

Imagen: Redes Barracuda

Crear formularios en línea para phishing. En este caso, los delincuentes crean un formulario en línea utilizando un servicio como forms.office environment.com y luego se vinculan a ese formulario desde los correos electrónicos de phishing iniciales. Falsificando la página de inicio de sesión de un sitio legítimo, el formulario intenta obtener las credenciales de la cuenta del usuario. La página maliciosa contiene enlaces a sitios world wide web legítimos. Sin embargo, los dominios vinculados generalmente no son los que solicitarían la verificación de la cuenta o los cambios de contraseña.

amenaza-foco-táctica-2-barracuda.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/05/28/d756295a-282e-4d9c-92d5-264e9c43d397/resize/770x /df02b184cd5e3011bc9eafc5ded6ac43/threat-spotlight-tactic-2-barracuda.jpg

Imagen: Redes Barracuda

Obtener acceso a cuentas sin contraseñas. En este caso, los atacantes pueden acceder a las cuentas de usuario sin tener que capturar sus credenciales. El correo electrónico inicial de phishing contiene un enlace a lo que parece ser una página de inicio de sesión legítima. Pero el enlace en realidad contiene una solicitud de un token de acceso para una aplicación. Después de ingresar sus credenciales de cuenta, el usuario recibe una lista de permisos de aplicaciones para aceptar. Al aceptar estos permisos, la víctima no tiene que revelar ninguna contraseña, sino que le da a la aplicación del atacante un token de acceso para usar las mismas credenciales para acceder a la cuenta.

Tales ataques son especialmente desagradables, ya que pueden evitar la autenticación de dos factores y pasar desapercibidos durante mucho tiempo. Aunque Microsoft ha deshabilitado la aplicación específica utilizada en este ataque, la táctica typical sigue vigente, según Barracuda.

amenaza-foco-táctico-3-barracuda.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/05/28/51cdc72b-8b89-4e26-8748-1f68321410ab/resize/770x /37b3f61a797642163fc473d486a8259e/threat-spotlight-tactic-3-barracuda.jpg

Imagen: Redes Barracuda

Para ayudar a su organización a defenderse contra este tipo de ataques de phishing, Barracuda ofrece las siguientes recomendaciones:

  • Defensa de la bandeja de entrada basada en API. Los ciberdelincuentes están ajustando sus tácticas para eludir las puertas de enlace de correo electrónico y los filtros de correo no deseado, por lo que necesita una solución que use inteligencia synthetic para detectar y bloquear ataques como la toma de cuentas y la suplantación de dominios. Implemente tecnología que utilice el aprendizaje automático para analizar patrones de comunicación normales dentro de su organización en lugar de depender únicamente de la búsqueda de enlaces o archivos adjuntos maliciosos. Esto permite que la solución detecte anomalías que pueden indicar un ataque.
  • Implementar autenticación multifactor. La autenticación multifactor (MFA), la autenticación de dos factores y la verificación en dos pasos proporcionan una capa adicional de seguridad más allá de los nombres de usuario y contraseñas, como códigos de autenticación, huellas digitales o escaneos de retina.
  • Protegerse contra la toma de cuenta. Utilice la tecnología para identificar actividades sospechosas y posibles signos de adquisiciones de cuentas, como inicios de sesión en momentos inusuales del día o desde ubicaciones y direcciones IP inusuales. Rastree las direcciones IP que exhiben otros comportamientos sospechosos, incluidos inicios de sesión fallidos y acceso desde dispositivos sospechosos. Monitoree las cuentas de correo electrónico en busca de reglas de bandeja de entrada maliciosas, así como a menudo se usan como parte de las adquisiciones de cuentas. Los delincuentes que inician sesión en la cuenta crean reglas de reenvío y ocultan o eliminan cualquier correo electrónico que envían desde la cuenta para tratar de ocultar sus huellas.
  • Mejorar la educación de seguridad del usuario.. Eduque a los usuarios sobre los ataques de correo electrónico, incluidos los ataques basados ​​en formularios, como parte de la capacitación sobre conciencia de seguridad. Asegúrese de que el particular pueda reconocer los ataques, comprender su naturaleza fraudulenta y saber cómo denunciarlos. Utilizar simulación de phishing capacitar a los usuarios para identificar ataques cibernéticos, probar la efectividad de su entrenamiento y evaluar a los más vulnerables a los ataques.

Ver también

Concepto de piratería y phishing "src =" https://tr3.cbsistatic.com/hub/i/r/2019/11/29/8763ddf3-00d8-45ed-af8f-3ab8d62d13f9/resize/770x/d27a7b22b51bbd85440777bffd1ae4e6/istock-1090872318. jpg

Imagen: peshkov, Getty Images / iStockphoto



Enlace a la noticia primary