FBI, CISA Echo Warnings sobre la amenaza «Vishing» – Krebs on Stability


los Oficina Federal de Investigaciones (FBI) y el Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió el jueves una alerta conjunta para advertir sobre la creciente amenaza del phishing de voz o “vishing”Ataques dirigidos a empresas. El aviso se produjo menos de 24 horas después de que KrebsOnSecurity publicara una mirada en profundidad a un grupo delictivo que ofrece un servicio que las personas pueden contratar para robar credenciales de VPN y otros datos confidenciales de los empleados que trabajan de forma remota durante la pandemia de Coronavirus.

“La pandemia de COVID-19 ha dado lugar a un cambio masivo al trabajo desde casa, lo que ha resultado en un mayor uso de redes privadas virtuales corporativas (VPN) y la eliminación de la verificación en persona”, se lee en la alerta. «A mediados de julio de 2020, los ciberdelincuentes iniciaron una campaña de vishing, obteniendo acceso a las herramientas de los empleados en varias empresas con orientación indiscriminada, con el objetivo closing de monetizar el acceso».

Como se señaló en la historia del miércoles, las agencias dijeron que los sitios de phishing establecidos por los atacantes tienden a incluir guiones, el nombre de la empresa objetivo y ciertas palabras, como «soporte», «ticket» y «empleado». Los perpetradores se centran en las nuevas contrataciones de ingeniería social en la empresa objetivo y se hacen pasar por personalized del servicio de asistencia de TI de la empresa objetivo.

los alerta conjunta FBI / CISA (PDF) dice que la pandilla vishing también compila expedientes sobre los empleados de las empresas específicas utilizando el raspado masivo de perfiles públicos en plataformas de redes sociales, herramientas de reclutamiento y marketing, servicios de verificación de antecedentes disponibles públicamente e investigación de código abierto. De la alerta:

“Los actores comenzaron a usar números de Protocolo de Voz sobre Net (VoIP) no atribuidos para llamar a empleados específicos en sus teléfonos celulares personales, y luego comenzaron a incorporar números falsos de otras oficinas y empleados en la empresa víctima. Los actores utilizaron técnicas de ingeniería social y, en algunos casos, se hicieron pasar por miembros de la mesa de ayuda de TI de la empresa víctima, utilizando su conocimiento de la información de identificación personal del empleado, incluido el nombre, el puesto, la duración en la empresa y la dirección de la casa, para ganarse la confianza. del empleado objetivo «.

“Luego, los actores convencieron al empleado objetivo de que se enviaría un nuevo enlace VPN y se requeriría su inicio de sesión, incluida cualquier 2FA (autenticación de 2 factores) u OTP (contraseñas de un solo uso). El actor registró la información proporcionada por el empleado y la utilizó en tiempo serious para obtener acceso a las herramientas corporativas utilizando la cuenta del empleado «.

La alerta señala que, en algunos casos, los empleados desprevenidos aprobaron el aviso 2FA u OTP, ya sea accidentalmente o creyendo que period el resultado del acceso anterior otorgado al imitador de la mesa de ayuda. En otros casos, los atacantes pudieron interceptar los códigos de un solo uso al apuntar al empleado con el intercambio de SIM, que involucra a personas de ingeniería social en las empresas de telefonía móvil para que les dé el command del número de teléfono del objetivo.

Las agencias dijeron que los delincuentes utilizan las credenciales de VPN vished para extraer las bases de datos de la empresa víctima para obtener información personalized de sus clientes para aprovechar otros ataques.

“Luego, los actores utilizaron el acceso de los empleados para realizar más investigaciones sobre las víctimas y / o para obtener fondos de manera fraudulenta utilizando diversos métodos dependiendo de la plataforma a la que se accede”, se lee en la alerta. «El método de monetización varió según la empresa, pero fue muy agresivo con un cronograma ajustado entre la infracción inicial y el esquema de retiro de efectivo disruptivo».

El aviso incluye una serie de sugerencias que las empresas pueden implementar para ayudar a mitigar la amenaza de estos ataques vishing, que incluyen:

• Restrinja las conexiones VPN a dispositivos administrados únicamente, utilizando mecanismos como comprobaciones de components o certificados instalados, de modo que la entrada del usuario por sí sola no sea suficiente para acceder a la VPN corporativa.

• Restrinja las horas de acceso a la VPN, cuando corresponda, para mitigar el acceso fuera de los tiempos permitidos.

• Emplear la supervisión de dominios para realizar un seguimiento de la creación o los cambios en los dominios corporativos de marca.

• Escanee y monitoree activamente las aplicaciones internet en busca de accesos no autorizados, modificaciones y actividades anómalas.

• Emplear el principio de privilegio mínimo e implementar políticas de restricción de software package u otros controles supervisar los accesos y el uso de usuarios autorizados.

• Considere utilizar un proceso de autenticación formalizado para las comunicaciones de empleado a empleado realizadas a través de la red telefónica pública donde se united states un segundo factor para
autenticar la llamada telefónica antes de que se pueda discutir la información confidencial.

• Mejore la mensajería 2FA y OTP para reducir la confusión sobre los intentos de autenticación de los empleados.

• Verifique que los enlaces web no tengan errores ortográficos o contengan el dominio incorrecto.

• Marque la URL de la VPN corporativa correcta y no visite URL alternativas solo por una llamada telefónica entrante.

• Sospeche de las llamadas telefónicas, visitas o mensajes de correo electrónico no solicitados de personas desconocidas que afirman ser de una organización legítima. No proporcione información individual o información sobre su organización, incluida su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información. Si es posible, intente verificar la identidad de la persona que llama directamente con la empresa.

• Si recibe una llamada vishing, documente el número de teléfono de la persona que llama, así como el dominio al que el actor intentó enviarle y transmita esta información a la policía.

• Limite la cantidad de información individual que publica en sitios de redes sociales. Net es un recurso público solo publique información con la que se sienta cómodo que alguien vea.

• Evalúe su configuración: los sitios pueden cambiar sus opciones periódicamente, así que revise su configuración de seguridad y privacidad con regularidad para asegurarse de que sus opciones sigan siendo adecuadas.


Etiquetas: CISA, COVID-19, fbi, vishing

Esta entrada se publicó el viernes 21 de agosto de 2020 a las 4:34 p.m. y está archivada en Últimas advertencias, Herramientas de seguridad, La tormenta que se avecina.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first