Google, las marcas de Microsoft suplantaron más en …


Los atacantes se aprovechan de la inclinación de los usuarios a hacer clic en sitios web de aspecto acquainted, pero en su lugar los engañan para que compartan nombres de usuario y contraseñas.

Un nuevo tipo de ataque de suplantación de marca enviado por correo electrónico de phishing busca atraer a las víctimas para que hagan clic en las URL que muestran los formularios que los usuarios verían en las páginas web legítimas de Google o Microsoft.

Según los investigadores de Barracuda, estos esquemas de suplantación de marca basados ​​en formularios constituyeron el 4% de todos los ataques de spear phishing durante los primeros cuatro meses de 2020.

De los casi 100,000 ataques basados ​​en formularios que Barracuda encontró entre el 1 de enero y el 30 de abril, los sitios web de almacenamiento y uso compartido de archivos de Google se usaron el 65% del tiempo. Las marcas de Microsoft fueron atacadas en el 13% de los ataques.

Si bien los ataques de suplantación de marca son un pequeño porcentaje de la actividad maliciosa total, son altamente efectivos, dice Don MacLennan, vicepresidente senior de ingeniería y producto de Barracuda.

«Estos son ataques muy engañosos», dice MacLennan. «Los usuarios piensan que el sitio, la URL de la internet y la dirección IP son legítimos. En muchos casos, los atacantes usan un subdominio de un dominio legítimo, lo que los hace parecer legítimos y (explica) por qué son tan difíciles de detectar». «

Peter Firstbrook, vicepresidente analista de Gartner que cubre la seguridad, dice que el surgimiento de grandes sitios de alojamiento en la nube como Google, Microsoft Azure y Amazon Internet Companies ha creado un gran objetivo para los piratas informáticos, que pueden escabullirse y esconderse en ellos sin ser detectados. .

«Y cuando se detectan, es fácil para ellos simplemente lanzar nuevos ataques», dice.

Los ataques basados ​​en formularios también continúan una tendencia de los malos que se centran en las URL en lugar de los archivos adjuntos, agrega Firstbrook. Él dice que los piratas informáticos también están más centrados en las adquisiciones de cuentas en comparación con los esquemas de ransomware.

En el tipo de ataque de suplantación de marca observado por Barracuda, los estafadores aprovechan los archivos, el intercambio de contenido u otros sitios de productividad, como docs.google.com o sway.office environment.com, para convencer a las víctimas de que entreguen sus credenciales.

De hoy entrada en el site by Barracuda presenta tres métodos de ataque diferentes:

1. Uso de sitios legítimos como intermediarios: Los estafadores intentan hacerse pasar por correos electrónicos que aparecen generados automáticamente por sitios de intercambio de archivos, como OneDrive o SharePoint, pero llevan a sus víctimas a un sitio de phishing a través del sitio legítimo de intercambio de archivos. El atacante envía un correo electrónico con un enlace que conduce a un archivo almacenado en un sitio que se asemeja a una URL legítima. El archivo contiene una imagen de aspecto legítimo con un enlace a lo que en realidad es un sitio de phishing que busca robar credenciales una vez que el usuario inicia sesión.

2) Crear formularios en línea para phishing: Los atacantes crean un formulario en línea utilizando un servicio legítimo, como forms.business office.com. El formulario se asemeja a una página de inicio de sesión de un servicio legítimo, y el enlace URL al formulario se incluye en correos electrónicos de phishing para robar credenciales. Las víctimas piensan que todo está bien y luego ingresan sus nombres de usuario y contraseñas en el sitio fraudulento.

3. Obtener acceso a cuentas sin contraseñas: En este caso, los hackers obtienen acceso a las cuentas sin robar las credenciales de la víctima. El correo electrónico unique de phishing contiene un enlace a lo que parece una página de inicio de sesión habitual. Incluso el nombre de dominio en la ventana del navegador parece coincidir con lo que los usuarios esperarían ver. Sin embargo, el enlace contiene una solicitud de un token de acceso para una aplicación.

Después de ingresar las credenciales de inicio de sesión, generalmente la dirección de correo electrónico de la víctima, se le presenta a la víctima una lista de permisos de aplicaciones para aceptar. Al aceptar los permisos, la víctima no renuncia a su contraseña, sino que genera un token de acceso electrónico que utiliza las mismas credenciales de inicio de sesión utilizadas para acceder a la cuenta. El atacante queda en casa libre con acceso a la cuenta de la víctima.

Josh Zelonis, analista principal de Forrester, dice que si bien estos ataques sin contraseñas son muy difíciles de detectar, los usuarios deben hacerse dos preguntas antes de hacer clic en cualquier enlace potencialmente fraudulento: Primero, ¿he iniciado un proceso de flujo de trabajo de este tipo? En segundo lugar, ¿conozco a la persona que envió este correo electrónico?

«Todo se ve como debería», dice Zelonis. «Los estafadores cuentan con que los usuarios no hagan su debida diligencia».

MacLennan de Barracuda dice que los usuarios siempre deben prestar atención al origen del correo electrónico, así como a las URL dentro de la página. En estos ataques, los malos usan múltiples técnicas de suplantación y suplantación de identidad para ocultar sus verdaderas identidades y engañar a los usuarios.

«También es difícil esperar que los usuarios conozcan todas las direcciones de correo electrónico posibles utilizadas por marcas como Microsoft Place of work 365», dice MacLennan. «El atacante apuesta a que su víctima extrañará de dónde proviene el correo electrónico. Con nuestro ejemplo, la víctima no se dirige a un sitio de suplantación de identidad (phishing), sino que lo lleva a ingresar sus credenciales en el sitio de inicio de sesión de Office environment 365 genuine. El hacker apuesta que su la víctima mirará la URL en la parte outstanding de su navegador y se sentirá segura porque verá un nombre de dominio preciso «.

Entonces, con estos ataques muy furtivos que afectan a las redes, ¿cómo pueden los equipos de seguridad proteger mejor a sus organizaciones?

Barracuda recomienda al menos tres estrategias para que los equipos de seguridad consideren: MacLennan dice que las empresas deberían implementar tecnología que utilice el aprendizaje automático para analizar los patrones normales de comunicación dentro de la organización, en lugar de depender únicamente de la búsqueda de enlaces o archivos adjuntos maliciosos. Esto ayuda a detectar anomalías que pueden indicar un ataque. Las compañías deberían considerar la autenticación y la tecnología de múltiples factores que pueden buscar adquisiciones de cuentas, agrega.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia first