Ataques de phishing ocultos en Google Cloud para robar credenciales de cuentas de Microsoft


Al alojar páginas de phishing en un servicio en la nube legítimo, los ciberdelincuentes intentan evitar suscitar sospechas, dice Look at Place Analysis.

suplantación de identidad

Imagen: Getty Photographs / iStockphoto

Las campañas de phishing a menudo intentan evadir la detección no solo personificando compañías y marcas conocidas, sino almacenando su contenido malicioso en un sitio website legítimo. La idea es que tales páginas de phishing eludirán mejor la detección por productos de seguridad y atraparán más fácilmente a las víctimas desprevenidas. Un reciente ataque de phishing analizado por el proveedor de inteligencia de amenazas cibernéticas Check out Point Investigation está utilizando los servicios de Google Cloud para ocultar su intención maliciosa.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

en un publicación de site publicada el martes, Examine Place descubrió que esta campaña en certain comienza al subir un archivo PDF a Google Travel. Creado para parecerse a un aviso de Microsoft SharePoint, el PDF contiene un enlace a Obtain Doc, que lleva al usuario a la página de phishing actual.

Esta página de phishing está alojada en un dominio llamado storage.googleapis.com, un sitio que los hackers a menudo explotan para campañas de phishing y otro malware. Usando el nombre y la marca de SharePoint On the web, la página de phishing le pide al usuario que inicie sesión con sus credenciales de Workplace 365 o el ID de su organización. Elegir cualquiera de las opciones lleva a la persona a una ventana emergente de inicio de sesión que le solicita que inicie sesión con su correo electrónico y contraseña de Microsoft Outlook.

Después de iniciar sesión, se muestra al usuario un informe PDF real publicado por una empresa de consultoría world-wide. Esta última pieza da a las personas la impresión de que han iniciado sesión en un servicio legítimo a través del cual han recibido información útil o valiosa.

phishing-scam-google-cloud-check-point.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/07/21/5bd4ef33-ba3a-4093-974c-91468c5fac91/resize /770x/1ea178517dad665ab4d4d6346158c318/phishing-scam-google-cloud-check-point.jpg

Imagen: Check Issue Study

Durante todo el viaje desde el documento PDF inicial hasta el informe PDF closing, la campaña parece ser convincente, especialmente porque la página de phishing está alojada en Google Cloud. La explotación de los servicios en la nube de esta manera se ha convertido en una táctica más well-known entre los cibercriminales. Debido a que dichos servicios generalmente se usan con fines legítimos, tanto las víctimas como los administradores de seguridad tienen problemas para identificar y detectar estos ataques.

Sin embargo, en este caso, Google se enteró y suspendió este proyecto por abuso de phishing en enero de 2020. La URL se desconectó, al igual que todas las URL asociadas con la campaña.

Para proteger a su organización de este tipo de ataques de phishing, Check Position ofrece los siguientes consejos para usuarios y administradores de seguridad:

Para los usuarios

  1. Tenga cuidado con los dominios parecidos, los errores ortográficos en correos electrónicos o sitios web y los remitentes de correos electrónicos desconocidos.
  2. Tenga cuidado con los archivos recibidos por correo electrónico de remitentes desconocidos, especialmente si le solicitan una determinada acción que normalmente no realizaría.
  3. Asegúrese de ordenar productos de una fuente auténtica. Una forma de hacerlo es NO hacer clic en enlaces promocionales en correos electrónicos. En su lugar, busque el minorista deseado y haga clic en el enlace de la página de resultados de Google.
  4. Cuidado con las ofertas «especiales».
  5. No reutilice las contraseñas entre diferentes aplicaciones y cuentas.

Para los administradores

  1. Prevenga ataques de día cero con arquitecturas cibernéticas de extremo a extremo.
  2. Bloquear sitios de phishing engañosos.
  3. Proporcione alertas sobre la reutilización de contraseñas en tiempo genuine.
  4. Recuerde que los buzones de sus usuarios son la puerta de entrada a su organización, así que considere usar medidas de seguridad de correo electrónico también.

Ver también



Enlace a la noticia unique