El ataque de phishing suplanta al individual de TI para apuntar a usuarios de VPN


Un correo electrónico de phishing afirma enviar al destinatario a una página de configuración de VPN para acceder a su hogar, pero en su lugar lo lleva a un sitio de robo de credenciales, dijo Seguridad anormal.

phishing-vía-internet-vector-illustration-fishing-by-email-spoofing-vector-id665837286.jpg

Imagen: GrafVishenka, Getty Images / iStockPhotos

Los cibercriminales han estado interesados ​​en explotar COVID-19 para crear aplicaciones maliciosas relacionadas con el coronavirus, sitios net falsos y correos electrónicos de phishing. A medida que la pandemia ha desencadenado un gran cambio hacia el trabajo remoto, también los delincuentes han tratado de atacar a los empleados de negocios que trabajan en casa. en un publicación de blog site publicada el miércoles, Seguridad anormal describe una nueva campaña de phishing que explota la necesidad de VPN.

VEA: Coronavirus: políticas y herramientas de TI críticas que toda empresa necesita (TechRepublic Premium)

El correo electrónico de phishing inicial llega con una notificación aparentemente del soporte de TI del empleador del destinatario. La dirección del remitente incluso es falsificada para hacerse pasar por el dominio de la organización específica. El cuerpo del correo electrónico en sí es breve, simplemente con un aviso y un enlace para el nuevo acceso a la configuración de inicio de VPN.

vpn-phishing-email-anormal-security.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/06/03/5ee6b746-f7a0-4cf9-a282-d291a3f21489/resize/770x /e23984d071f34f44e55b0b89ab9c2795/vpn-phishing-email-abnormal-security.jpg

Seguridad anormal

Al hacer clic en el enlace, el usuario accede a una página de inicio que parece idéntica a una página de inicio de sesión de Microsoft 365. La página incluso está alojada en una plataforma Microsoft .Internet y, por lo tanto, utiliza un certificado válido de Microsoft.

En cambio, la página es un sitio website de phishing que busca capturar las credenciales de la cuenta de Microsoft de la víctima. Las personas que ingresan sus credenciales por error no solo expondrían su cuenta de Microsoft, sino también cualquier otra cuenta que use esas credenciales como inicio de sesión único.

El ataque juega con la necesidad de una VPN mientras se trabaja desde casa. Los empleados desprevenidos que no están acostumbrados a trabajar fuera de la oficina pueden morder el anzuelo por temor a no poder conectarse adecuadamente a la pink de su organización.

Además, la URL utilizada como texto de anclaje es diferente de la URL en el enlace. El texto de anclaje contiene el nombre de la empresa en texto sin formato. Al ocultar la URL real, los atacantes quieren engañar a los usuarios para que crean que esta es una página de inicio de sesión serious de Microsoft Office.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Seguridad anormal dijo que detectó varias versiones de este ataque en varios clientes desde diferentes direcciones de remitentes y desde diferentes direcciones IP. En todos los casos, sin embargo, se utilizó el mismo enlace de carga útil, una señal de que un solo atacante controla el sitio de phishing.

Para proteger a su organización contra este tipo de ataques de phishing, Ken Liao, vicepresidente de estrategia de ciberseguridad para Seguridad anormal, ofrece los siguientes consejos:

  • Verifique nuevamente los remitentes y las direcciones para mensajes para garantizar que provienen de fuentes legítimas. No solo confíes en el nombre para mostrar. Para cualquier cosa en la que lo conduzcan a un lugar donde se le pida que ingrese sus credenciales, mire la dirección de correo electrónico actual.
  • Siempre revise la URL de la página net antes de iniciar sesión. Los atacantes a menudo ocultan enlaces maliciosos en redirecciones o los alojan en sitios internet separados a los que se puede acceder mediante enlaces seguros. Esto les permite evitar el escaneo de enlaces dentro de los correos electrónicos mediante soluciones de seguridad de correo electrónico tradicionales. Si la URL parece sospechosa, no ingrese sus credenciales y verifique con el departamento de TI de su empresa.

Ver también



Enlace a la noticia authentic