Cómo los ataques de phishing continúan explotando COVID-19


Estos correos electrónicos de phishing prometen compensación, resultados de pruebas y otros señuelos sobre el coronavirus para engañar a los usuarios desprevenidos, dice Armorblox.

correo electrónico-datos-phishing-con-ladrón-cibernético-escondido-detrás-computadora-portátil-id1164097820-1.jpg

Imagen: iStock / OrnRin

Las campañas de phishing a menudo aprovechan los eventos en las noticias como una forma de enganchar a posibles víctimas, y eso ha sido especialmente cierto con COVID-19. A lo largo de este año, los ciberdelincuentes han explotado todos los aspectos del virus para capitalizar el miedo, la ansiedad y la curiosidad que la gente naturalmente ha sentido sobre este brote mortal. UNA nuevo informe de la firma de ciberseguridad Armorblox analiza cuatro tipos de campañas de phishing relacionadas con el coronavirus que aparecieron este año y sugiere formas de defenderse de ellas.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Los estafadores olfatearon una oportunidad con COVID-19 a principios de año, lo que los llevó a incorporar la pandemia en sus ataques de phishing. A mediados de abril, el Grupo de análisis de amenazas de Google detección de 18 millones de correos electrónicos de phishing y malware con temas de coronavirus por día.

Con 2020 casi terminado, estos ataques por correo electrónico continúan alegremente. Algunos están mal diseñados y no son convincentes, pero muchos están creados por expertos y son más difíciles de distinguir de los mensajes legítimos.

IRS COVID alivio de phishing

En esta campaña, un correo electrónico afirmaba ofrecer un documento sobre los fondos de ayuda del IRS COVID con un enlace a este supuesto documento. Al hacer clic en el enlace, accederá a un formulario de SharePoint para completar. El formulario solicitaba no solo las credenciales de su cuenta de correo electrónico, sino también datos como números de seguro social, números de licencia de conducir y números de impuestos, todos los cuales los atacantes capturarían.

irs-covid-relief-scam-email-body-armorbox.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/12/10/785c6206-1d99-476e-aae1-85b8c343d446 /resize/770x/b7d27f59442ba163e238566c4ce00c30/irs-covid-relief-scam-email-body-armorbox.jpg

Correo electrónico de phishing disfrazado de información sobre los fondos de ayuda del IRS COVID.

Imagen: Armorblox

Esta campaña utilizó una variedad de tácticas de ingeniería social con gran efecto. El tema de «Actualización del Fondo de Ayuda Covid del IRS» y el nombre del remitente de «Fondos de Ayuda Covid del IRS» fueron específicos y diseñados para obtener respuestas rápidas de los destinatarios. Hacer referencia a una autoridad como el IRS también apunta a impulsar una acción inmediata. El enlace de phishing apuntaba a una página de SharePoint comprometida pero legítima para evadir la protección de seguridad recurring que bloquea los dominios maliciosos.

Estafa de compensación de COVID del FMI

En este, el correo electrónico de phishing afirmaba que al destinatario se le debía una compensación COVID de el Fondo Monetario Internacional (FMI). Para obtener esta compensación, se le pidió al usuario que respondiera al correo electrónico para proporcionar más detalles, que eventualmente serían apropiados por el atacante.

imf-covid-scam-email-final-min-armourbox.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/12/10/231a3f22-ac55-489a-8be2-88a5d6286f85 /resize/770x/5f0f53d5fd392d1169116dbd992115b6/imf-covid-scam-email-final-min-armorbox.jpg

Estafa por correo electrónico disfrazada de noticias de compensación COVID del FMI.

Imagen: Armorblox

Al no incluir un enlace real a una página de suplantación de identidad, este correo electrónico pasa por alto los filtros de seguridad que bloquean los enlaces sospechosos. El correo electrónico también incluye un hilo de conversación completo de un director del FMI que afirma que 125 beneficiarios habían sido preseleccionados para la compensación COVID del FMI, una forma de hacer que la estafa parezca legítima. El título del correo electrónico de «Re: Compensación del FMI» y un número de referencia también están diseñados para dar legitimidad al mensaje.

Estafa de resultados de pruebas COVID

Aquí, el correo electrónico falsificó un mensaje automático del consultorio de un médico que prometía los resultados de la prueba COVID del destinatario. Al hacer clic en el enlace de los resultados, se intenta instalar un archivo RAR infectado con malware en el sistema.

covid-test-results-scam-email-final-armorbox.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/12/10/c85c09d9-b5e1-4bfa-a440-dfeff969cc9a /resize/770x/6568afded78f17b9837f07d61fa9bf13/covid-test-results-scam-email-final-armorbox.jpg

Estafa por correo electrónico disfrazada de resultados de la prueba COVID del consultorio del médico.

Imagen: Armorblox

El uso de «Soporte médico» como nombre del remitente, la mención del nombre de una enfermera y la oferta de los resultados de la prueba COVID-19 están diseñados para que el correo electrónico parezca legítimo. El mensaje en sí incluye una contraseña / PIN para acceder al archivo adjunto con los resultados de la prueba, lo que le da al usuario una falsa sensación de seguridad.

Suplantación de identidad de SharePoint

En esta estafa, el correo electrónico se hizo pasar por un mensaje automatizado de SharePoint que afirmaba ofrecer un archivo sobre los requisitos de COVID-19. Hacer clic en el vínculo del archivo llevaría a las víctimas a un sitio engañoso alojado en AWS.

sharepoint-covid-scam-email-final-armorbox.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/12/10/9f1764aa-6ea6-4fa6-aa34-3b6fb7c4437e/resize /770x/d53cf4ff6545374f6d655511b05ba6b7/sharepoint-covid-scam-email-final-armorbox.jpg

Estafa por correo electrónico disfrazada de resultados de la prueba COVID del consultorio del médico.

Imagen: Armorblox

El nombre del remitente de «Sharepoint On line» y la plantilla de correo electrónico imitan la información que normalmente se ve en los correos electrónicos automatizados de aplicaciones legítimas en la nube. El asunto del correo electrónico utiliza el nombre del destinatario seguido de «Requisitos de COVID 19» en un intento de crear miedo y ansiedad. El mensaje en sí lleva una nota al pie de página que afirma que el enlace funcionará solo para el destinatario del correo electrónico, una forma clave de adormecer a las personas con una falsa sensación de seguridad.

Para proteger a su organización y a sus usuarios de estos tipos de estafas de phishing, Armorblox ofrece las siguientes pautas:

  1. Siga las mejores prácticas de administración de contraseñas y 2FA. Implemente la autenticación de dos factores (2FA) en todas las cuentas comerciales y personales posibles. Utilice un administrador de contraseñas para almacenar las contraseñas de su cuenta. No repita contraseñas entre cuentas ni use contraseñas genéricas como su fecha de nacimiento u obvias como «contraseña123» o «SuNombre123», etcetera.
  2. Someter los correos electrónicos confidenciales a rigurosos exámenes oculares. Interactúe con correos electrónicos relacionados con COVID de manera prudente y racional. Someta el correo electrónico a una prueba visible que incluye inspeccionar el nombre del remitente, la dirección de correo electrónico del remitente, el idioma del correo electrónico y cualquier inconsistencia lógica dentro del correo electrónico.
  3. Crea tus propias líneas de autenticación. Intente replicar 2FA, aunque sea en un sentido impreciso, para el correo electrónico relacionado con COVID que espera una acción de su parte. Por ejemplo, ¿su médico le envió un correo electrónico con los resultados de la prueba en un archivo adjunto? Llame o envíe un mensaje de texto al médico y confirme que envió el correo electrónico.
  4. Aumente la detección de amenazas de correo electrónico nativo con controles adicionales Para aumentar las capacidades de seguridad del correo electrónico existentes (p. Ej. Protección de Trade On the internet para Business 365 o el Programa de protección avanzada para G Suite), invierta en tecnologías que adopten un enfoque materialmente diferente para la detección de amenazas. En lugar de buscar en listas estáticas y bloquear dominios defectuosos conocidos, estas tecnologías deberían aprender de los datos organizativos personalizados y ser capaces de detener amenazas de ingeniería social como el fraude de nómina, la suplantación de identidad y las estafas de correo electrónico basadas en COVID.

Ver también



Enlace a la noticia unique