Ataque de phishing falsifica el alivio del COVID-19 del IRS para robar datos personales


La página de phishing intenta obtener credenciales de correo electrónico, números de seguro social, números de licencia de conducir y números de impuestos, dice Armorblox.

phishing-via-internet-vector-illustration-fishing-by-email-spoofing-vector-id665837286.jpg

Imagen: GrafVishenka, Getty Visuals / iStockPhotos

Las campañas de phishing continúan siendo un método well-known y generalizado de ciberataque. Al hacerse pasar por una empresa o marca conocida, los ciberdelincuentes suelen buscar información confidencial de usuarios desprevenidos. Un nuevo ataque de phishing detectado por la empresa de ciberseguridad Armorblox explota al IRS, el coronavirus y SharePoint, todo de una sola vez.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

en un entrada de blog site publicada el miércoles, Armorblox describió esta campaña de phishing de credenciales como una que afectó a varios de sus clientes hace solo unos días. En este ataque, el correo electrónico inicial prometía una actualización importante sobre los fondos de ayuda COVID del destinatario que se desembolsarían en la dirección de la persona.

Hacer clic en el vínculo para ver un mensaje sobre esta actualización llevaría al usuario a un formulario de SharePoint que tenía que completar para obtener el documento completo. En ese momento, el formulario solicitaba no solo credenciales de correo electrónico, sino también un número de seguro social, número de licencia de conducir y número de identificación fiscal. Por supuesto, cualquier información de este tipo ingresada en el formulario sería luego capturada por los criminales detrás de esta campaña.

irs-covid-relief-scam-attack-summary.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/10/07/e8f29001-3537-4067-ba45-0db8f710038f/resize /770x/094046159d3ae0bc99644043e563e12b/irs-covid-relief-scam-attack-summary.jpg

Resumen del ataque de phishing de alivio COVID del IRS

Imagen: Armorblox

El correo electrónico inicial superó la seguridad del correo electrónico de Microsoft 365 porque no siguió los rasgos habituales de los ataques de phishing tradicionales, según Armorblox.

El correo electrónico tenía el tipo correcto de lenguaje y contenido diseñado para obtener una respuesta rápida de un destinatario de confianza. El asunto del correo electrónico de «Actualización del Fondo de Ayuda de Covid del IRS» y el nombre del remitente de «Fondos de Ayuda de Irs Covid» eran específicos y estaban relacionados con temas importantes. El uso del nombre del IRS está diseñado para invocar una acción inmediata del usuario. El mensaje incluso incluye un supuesto aviso de confidencialidad para que parezca legítimo.

Sin embargo, al igual que muchos correos electrónicos de phishing, el mensaje contiene algunos errores gramaticales, como que el IRS no esté en mayúscula en el nombre del remitente. Eso debería generar una señal de alerta entre los usuarios que se toman el tiempo para analizar todos los aspectos del mensaje. Pero los atacantes cuentan con un cierto número de personas lo suficientemente ansiosas o intrigadas como para hacer clic en el enlace sin examinar cuidadosamente el correo electrónico.

A continuación, la página de destino se aloja a través de una cuenta de SharePoint authentic, pero parece haber sido comprometida. Al observar el nombre genuine de la cuenta, Armorblox descubrió que pertenecía a un empleado de Reproductive Medicine Associates of Connecticut (RMACT), que los atacantes probablemente explotaron para esta campaña.

Debido a que la página de SharePoint era legítima, los filtros de seguridad que normalmente bloquean los dominios defectuosos no lograron bloquear este. El uso de SharePoint para alojar la página también le dio la marca y las imágenes habituales de Microsoft, otra táctica para que parezca legítima. Para colmo, un aviso en la parte inferior incluso aconseja a las personas que no compartan sus contraseñas ni revelen información personal.

Para protegerse contra tales campañas de phishing, Armorblox ofrece las siguientes palabras de sabiduría:

Tenga cuidado al compartir solicitudes de información de identificación particular (PII) y la industria de tarjetas de pago (PCI) fuera de contexto. La página de phishing para este ataque solicitaba información personal que el IRS nunca pediría por correo electrónico. Incluso cuando el correo electrónico parezca authentic, tenga cuidado de ingresar su número de seguro social, número de impuestos o detalles similares por correo electrónico. Realice un segundo método de autenticación llamando o enviando un mensaje de texto al remitente del correo electrónico para confirmar si las solicitudes son legítimas.

Someter los correos electrónicos confidenciales a rigurosos exámenes oculares. Siempre que sea posible, interactúe con correos electrónicos relacionados con dinero y datos de manera racional. Someta el correo electrónico a una prueba visual que incluye inspeccionar el nombre del remitente, la dirección de correo electrónico del remitente, el idioma del correo electrónico y cualquier inconsistencia lógica dentro del correo electrónico.

2FA es necesario pero no suficiente. Los delincuentes comprometieron la cuenta de SharePoint de un empleado de RMACT para este ataque. La adopción de la autenticación de dos factores (2FA) habría evitado el compromiso o al menos habría minimizado su impacto. Sin embargo, 2FA no habría sido suficiente para evitar que el correo electrónico de phishing cumpliera su objetivo, ya que el contexto (documento del IRS sobre los fondos de ayuda COVID) no requiere que 2FA parezca legítimo.

Aumente la seguridad del correo electrónico nativo con detección de amenazas complementaria. Para aumentar las capacidades de seguridad del correo electrónico existentes (p. Ej. Protección de Trade On the internet para Microsoft 365 o el Programa de protección avanzada para G Suite), las organizaciones deben invertir en tecnologías que adopten un enfoque materialmente diferente para la detección de amenazas. En lugar de buscar en listas estáticas y bloquear dominios defectuosos conocidos, las tecnologías que adopte deberían poder aprender de los datos organizativos personalizados y poder detener las amenazas de ingeniería social que contienen cargas útiles de día cero (o que carecen de cargas útiles).

Ver también



Enlace a la noticia primary