Los ataques de phishing suplantan las facturas de QuickBooks antes de la fecha límite de impuestos del 15 de julio


Dirigidos al CEO y a otros en una organización, los ataques detectados por la empresa de seguridad cibernética Darktrace se detectaron debido a la inteligencia synthetic.

Fraude fiscal escrito en el informe de auditoría.

Imagen: designer491, Getty Images / iStockphoto

Las campañas de phishing generalmente usan algunas tácticas diferentes para comprometer a sus víctimas. Los correos electrónicos iniciales generalmente falsifican una empresa, marca o producto potencialmente utilizado por el destinatario. A menudo, estos correos electrónicos pretenden provenir de un compañero de trabajo o socio externo de confianza. Además, estos correos electrónicos a veces están dirigidos a un individuo específico dentro de una organización, como un ejecutivo de nivel C o alguien con handle financiero. Un reciente ataque de phishing observado por Darktrace utilizó todos esos métodos en un intento de desplegar malware.

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (PDF gratuito) (TechRepublic)

La campaña analizada estaba dirigida a una empresa de tecnología de punta, un objetivo tentador para los ciberdelincuentes que buscan las máximas ganancias. En la primera ola, los ciberdelincuentes falsificaron QuickBooks, un producto que se usa comúnmente antes de la fecha límite de impuestos del 15 de julio. En el correo electrónico de phishing inicial, el remitente afirmó ser del fabricante de QuickBooks Intuit con la dirección quickbooks@notification.intuit.com.

phishing-attack-quickbooks-invoice.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/06/22/44599017-fb05-4fa1-b1a4-21081d1b8710/resize/770x/cd3d353bb4385f0c53574e67f65d2c14 /phishing-attack-quickbooks-invoice.jpg

Imagen: Darktrace

El correo electrónico contenía un archivo adjunto enmascarado como una factura mensual legítima que la organización normalmente recibiría. Este archivo adjunto parecía ser un documento estándar de Microsoft Business pero uno con una macro diseñada para infectar el sistema objetivo con malware. El ataque fue dirigido a varios empleados en varios departamentos de la organización que tenían acceso a información confidencial.

Un mes después, se lanzó un segundo ataque contra esta misma organización. Esta vez, el atacante pudo comprometer la dirección de correo electrónico de un contador para enviar un correo electrónico de phishing directamente al CEO. En este caso, el correo electrónico contenía un mensaje de correo de voz de Skype como una forma de convencer al CEO para que ingrese sus credenciales de inicio de sesión en una página falsa de Skype.

«El hecho de que estos ataques se dirigieran específicamente al CEO y solo a las personas que tenían acceso a la investigación y la propiedad intelectual de la compañía muestra que este fue un ataque bien planificado y ejecutado meticulosamente», dijo Darktrace en su informe. «Los correos electrónicos fueron muy específicos y personalizados para las personas, falsificando plataformas que se sabía que usaban. Podemos suponer que la información se aprovechó de las redes sociales o incluso de violaciones anteriores para elaborar estos correos electrónicos».

Dado que los ataques finalmente fracasaron, Darktrace no estaba seguro de los motivos detrás de la campaña, pero fue capaz de especular.

«Su objetivo con la primera ola parecía ser obtener acceso, ya sea a través de malware o de comprometer las credenciales de la cuenta», dijo a TechRepublic Justin Fier, director de Cyber ​​Intelligence & Analytics para Darktrace. «Dado que esta era una compañía de tecnología con propiedad intelectual (propiedad intelectual) invaluable, y que los atacantes atacaron al CEO y a otras personas involucradas en la investigación con la segunda ola de ataques, es possible que buscaran algo más que información financiera, sino más bien buscando obtener acceso a la propiedad intelectual de la empresa «.

Aunque ambos ataques pasaron por encima de las soluciones de seguridad tradicionales, el componente de inteligencia synthetic (IA) en la defensa de ciberseguridad de Darktrace detuvo a cada uno. AI detectó que la fuente de los correos electrónicos falsificados era una dirección IP en Italia, que está fuera del rango de direcciones permitidas por Intuit para enviar correos electrónicos en su nombre. Darktrace también encontró estos intentos sospechosos en comparación con el Registros SPF normalmente asignado a quickbooks@notification.intuit.com. Además, el componente AI determinó que sería poco possible que se enviara exactamente el mismo correo electrónico a tantos destinatarios diferentes en diferentes departamentos dentro de la organización.

Debido a la característica de seguridad de AI, el ataque no logró establecerse en la organización. Pero la falsificación de un artículo común como una factura de QuickBooks sigue siendo motivo de preocupación.

«Este ataque fue claramente lanzado por un grupo avanzado, con la capacidad del grupo de burlar tan estrechamente la plataforma de Intuit especialmente preocupante», dijo Darktrace en su informe. «A medida que nos acercamos a la fecha límite de impuestos extendida del 15 de julio, el grupo podría lanzar fácilmente más ataques, falsificando TurboTax para engañar a innumerables personas, o dirigirse a empresas adicionales con facturas falsas de QuickBooks».

¿Cómo pueden las organizaciones y los individuos protegerse mejor de este tipo de ataques de phishing?

«Las herramientas de seguridad de correo electrónico tradicionales bloquearán los ataques de spear phishing que se han visto antes, pero las campañas específicas y novedosas a menudo son completamente únicas en su contenido, explotan el último tema de tendencias y aprovechan detalles específicos sobre una compañía», dijo Fier a TechRepublic. «En el juego continuo del gato y el ratón con intrusos cibernéticos, AI es capaz de hacer juicios precisos sobre qué correos electrónicos son legítimos. En este caso específico, AI detectó que la ubicación de origen de los correos electrónicos y el grupo de destinatarios period muy inusual , bloqueando automáticamente estas comunicaciones ilegítimas para que ni siquiera lleguen a la bandeja de entrada en primer lugar «.

Ver también



Enlace a la noticia original