Cómo los ataques de phishing están explotando las propias herramientas y servicios de Google


Los ciberdelincuentes están aprovechando las herramientas en línea abiertas y accesibles de Google para eludir los filtros de seguridad habituales, dice Armorblox.

suplantación de identidad

Imagen: iStockphoto / weerapatkiatdumrong

Uno de los principales desafíos que enfrenta cualquier tipo de ciberataque es superar las defensas de seguridad. Y una forma en que los atacantes gestionan esta hazaña es mediante el uso de servicios legítimos para llevar a cabo las diferentes fases de una campaña. Una publicación de blog site publicada el jueves por la firma de ciberseguridad Armorblox detalla cómo las campañas de phishing utilizan algunas de las tecnologías disponibles de Google y ofrece consejos sobre cómo protegerse.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

En la publicación titulada «Okay Google, créame una campaña de phishing, «El cofundador y director de ingeniería de Armorblox, Arjun Sambamoorthy, explica que Google es un objetivo propicio para la explotación debido a la naturaleza gratuita y democratizada de muchos de sus servicios.

Adoptadas por tantos usuarios legítimos, las API abiertas de Google, las integraciones extensibles y las herramientas fáciles de desarrollar también han sido cooptadas por ciberdelincuentes que buscan defraudar a organizaciones e individuos.

Específicamente, los atacantes están utilizando los propios servicios de Google para escabullirse de los filtros de seguridad binarios que buscan tráfico basado en palabras clave o URL. La publicación del blog site describe cinco campañas de phishing diferentes para ilustrar cómo se está explotando Google.

Phishing de credenciales de American Convey

En esta campaña, los atacantes implementan correos electrónicos de phishing que se hacen pasar por el servicio de atención al cliente de American Express, y les dicen a los destinatarios que omitieron cierta información al validar su tarjeta de crédito. El correo electrónico incluye un enlace a una página de phishing donde las personas pueden agregar la información que falta para validar su tarjeta.

Al solicitar detalles como credenciales de inicio de sesión, números de tarjeta y nombre de soltera de la madre, la página de phishing se aloja en un formulario de Google. Como tal, el correo electrónico inicial puede eludir cualquier filtro de seguridad que busque enlaces o dominios maliciosos. Dado que el dominio de Google y los formularios de Google son confiables, un filtro de seguridad típico dejaría pasar este correo electrónico.

Reconocimiento de estafa de benefactores

Esta campaña utiliza una táctica bien conocida y obvia al hacerse pasar por una viuda sin hijos que quiere desprenderse de una gran cantidad de dinero pero no tiene a dónde enviarlo. El correo electrónico pide a las personas que desean recibir el dinero que hagan clic en un enlace o respondan a la dirección del remitente.

El enlace lleva a los destinatarios a un formulario de Google aparentemente vacío con una pregunta sin título y una opción de respuesta (Opción 1). Aunque esto parece un mistake por parte de los atacantes, este tipo de forma es en realidad una técnica de reconocimiento común, según Armorblox. Los usuarios desprevenidos enviarán el formulario ficticio o responderán directamente al remitente. Estas respuestas ayudan a los atacantes a reducir a sus víctimas potenciales a los destinatarios más ingenuos y emocionalmente susceptibles.

elder-scam-form-final-min-armorblox.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/11/19/e786d375-d172-4ecc-9bb9-d021f5fb522e/resize /770x/5f285c093a3b077396b2f7737bda2c1b/elder-scam-form-final-min-armorblox.jpg

Imagen: Armorblox

Suplantación de identidad del equipo de seguridad

En este, los ciberdelincuentes engañan al equipo de administración de seguridad de una organización con un correo electrónico que le dice al destinatario que no han recibido algunos mensajes vitales debido a un problema de cuota de almacenamiento. Un enlace en el correo electrónico le pide al usuario que verifique su información para reanudar la entrega del correo electrónico.

El enlace del correo electrónico conduce a una página de inicio de sesión falsa alojada en Firebase, la plataforma móvil de Google para crear aplicaciones, alojar archivos e imágenes y ofrecer contenido generado por el usuario. Este enlace pasa por una redirección antes de aterrizar en la página de Firebase, lo que confunde a cualquier producto de seguridad que intente seguir la URL hasta su ubicación closing. Como está alojado por Google, la URL principal de la página no será detectada por la mayoría de los filtros de seguridad.

Estafa de recibo de pago

Para esta campaña, los atacantes se hacen pasar por el equipo de nómina de una organización con un correo electrónico enviado a los empleados con los detalles del recibo de pago. El mensaje contiene un enlace para que los destinatarios hagan clic para verificar que la información personalized de sus nóminas sea correcta. El enlace del correo electrónico dirige a una página alojada en Google Docs con el objetivo de engañar tanto al usuario como a los filtros de seguridad tradicionales.

payslip-scam-email-final-min-armorblox.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/11/19/fa1aebdd-b1ec-4e81-b4a2-232c6982c08e/resize /770x/0daca464ff1039fed1e9cd4691376b8c/payslip-scam-email-final-min-armorblox.jpg

Imagen: Armorblox

Phishing de credenciales de Microsoft Groups

En esta campaña, el correo electrónico de suplantación de identidad afirma provenir del equipo de TI de una organización, y solicita a los destinatarios que revisen un mensaje seguro compartido por colegas que utilizan Microsoft Teams. Al hacer clic en el vínculo, los usuarios acceden a una página diseñada para parecerse a una página de Teams, que luego los redirige a un sitio de phishing de credenciales que se parece al portal de inicio de sesión de Workplace 365.

Detrás de escena, el portal de inicio de sesión de Office environment 365 está alojado en Google Websites, una herramienta de creación de páginas world-wide-web y wiki. Esta página pasaría bien con mucha gente, según Armorblox, especialmente en una mañana ajetreada cuando se implementó el correo electrónico de phishing inicial.

Recomendaciones

Para ayudarlo a protegerse a sí mismo y a su organización de estos tipos de ataques de phishing, Armorblox ofrece los siguientes cuatro consejos:

Siga las mejores prácticas de administración de contraseñas y 2FA. Debido a que todas las cuentas del lugar de trabajo están estrechamente vinculadas, perder el acceso a su cuenta de Google puede ser peligroso, ya que los ciberdelincuentes pueden enviar correos electrónicos en su nombre a sus clientes, socios y seres queridos. Si aún no lo ha hecho, siga estas mejores prácticas de higiene. Para proteger mejor su cuenta, use la autenticación de dos factores (2FA), almacene las contraseñas de su cuenta con un administrador de contraseñas y no repita las contraseñas entre cuentas ni use contraseñas genéricas.

Someter los correos electrónicos confidenciales a rigurosos exámenes oculares. Siempre que sea posible, interactúe con correos electrónicos relacionados con dinero y datos de manera racional. Someta el correo electrónico a una prueba visual que incluye inspeccionar el nombre del remitente, la dirección de correo electrónico del remitente, el idioma del correo electrónico y cualquier inconsistencia lógica dentro del correo electrónico (por ejemplo, ¿por qué esta viuda sin hijos está dispuesta a enviarme millones de dólares?)

Crea tus propias líneas de autenticación. Intente replicar 2FA, incluso en un sentido vago, para cualquier correo electrónico que realice solicitudes inusuales relacionadas con dinero o datos. Por ejemplo, ¿su representante de recursos humanos le envió un correo electrónico con algunos detalles de nómina con un documento de Google solicitando más información con urgencia? Llame o envíe un mensaje de texto al representante de recursos humanos y confirme que envió el correo electrónico.

Aumente la detección de amenazas de correo electrónico nativo con controles adicionales. Para aumentar las capacidades de seguridad del correo electrónico existentes (p. Ej. Protección de Trade On the internet para Workplace 365 o el Programa de protección avanzada para G Suite), las organizaciones deben adoptar tecnologías que adopten un enfoque diferente para la detección de amenazas. En lugar de buscar en listas estáticas y bloquear dominios defectuosos conocidos, estas tecnologías deberían aprender de los datos organizativos personalizados y ser capaces de detener las amenazas de ingeniería social que contienen cargas útiles de día cero como Google Kinds, Docs o páginas creadas en Google Internet sites.

Ver también



Enlace a la noticia unique