El FBI advierte sobre ataques de phishing de voz dirigidos a empleados de grandes empresas


Mediante llamadas VoIP, los atacantes engañan a las personas para que inicien sesión en sitios de phishing como una forma de robar sus nombres de usuario y contraseñas.

Botón PHISHING en el teclado de la computadora

Imagen: Getty Visuals / iStockphoto

El FBI advierte a las empresas que tengan cuidado con una gran cantidad de ataques de phishing de voz destinados a capturar las credenciales de inicio de sesión de los empleados.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

En un aviso publicado el jueves pasado, el FBI reveló que a diciembre de 2019, los ciberdelincuentes han estado trabajando juntos en campañas de ingeniería social dirigidas a empleados de grandes empresas tanto en los EE. UU. como en el extranjero. Los delincuentes están aprovechando las plataformas VoIP para lanzar ataques de phishing o vishing por voz.

En un ataque vishing, los estafadores usan una llamada de voz para engañar a sus víctimas para que inicien sesión en un sitio net malicioso para obtener las credenciales de su cuenta.

En los ataques específicos a los que hace referencia el FBI, los delincuentes hablan con los empleados de la empresa en una llamada VoIP y los persuaden para que inicien sesión en una página de phishing para robar sus nombres de usuario y contraseñas. Después de capturar estas credenciales, los atacantes logran acceder a la pink corporativa donde pueden causar fácilmente más daños.

En un caso, los delincuentes utilizaron un servicio de mensajes de sala de chat para acceder a la sala de chat de una empresa. Allí, descubrieron a un empleado al que convencieron para iniciar sesión en una página VPN falsa. Luego, los atacantes utilizaron las credenciales robadas para iniciar sesión en la VPN authentic de la empresa para localizar a los empleados con mayores privilegios. El objetivo era encontrar personas que pudieran cambiar los nombres de usuario y la información de correo electrónico de otras personas de la empresa a través de un servicio de nómina basado en la nube, dijo el FBI.

Esquemas como este son siempre una amenaza. Pero con el bloqueo del coronavirus, muchas organizaciones son aún más vulnerables. En agosto pasado, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió sobre un esquema de vishing en el que los delincuentes que se hacían pasar por otras personas llamaban a los empleados que trabajaban desde casa para intentar obtener sus credenciales de cuenta.

Con tantos empleados remotos, es posible que una empresa no tenga las restricciones adecuadas sobre el acceso y los privilegios de la purple. Hacer un seguimiento de quién tiene acceso a qué datos y recursos se ha convertido en una tarea más desafiante y difícil. Y ese es exactamente el tipo de escenario que a los ciberdelincuentes les encanta explotar.

«Con tantos empleados trabajando desde casa, los actores de amenazas están recurriendo cada vez más a campañas vishing para afianzarse en la escalada de privilegios», dijo a TechRepublic el estratega de seguridad anormal Roman Tobe.

«Las empresas y sus empleados están bajo la amenaza constante de actores malintencionados que desarrollan cada vez más formas de hacer que revelen sus credenciales», dijo Tobe. «Ya sea que se trate de un correo electrónico elaborado por expertos o de un mensaje de voz convincente, es essential que los empleados se acerquen a cualquier solicitud de información entrante con un ojo crítico para confirmar que proviene de una fuente confiable. Si hay alguna duda sobre la validez, los empleados debería avisarlo inmediatamente a su equipo de seguridad «.

Hacerse pasar por un miembro del equipo de TI de su empresa es una forma especialmente popular y descarada de obtener las credenciales de los empleados, según Hank Schless, gerente senior de Soluciones de Seguridad en Lookout.

«Hacerse pasar por parte del equipo de TI coloca a los atacantes en un papel con mayor autoridad y credibilidad que el phishing tradicional», dijo Schless a TechRepublic. «El trabajo remoto aumenta la probabilidad de éxito del atacante porque el empleado objetivo no puede caminar por el pasillo para validar la comunicación con otro miembro del equipo».

Para proteger a su organización y a sus empleados de este tipo de estafas de phishing y vishing, el FBI ofrece los siguientes consejos:

  • Implementar la autenticación multifactor (MFA) para acceder a las cuentas de los empleados para minimizar las posibilidades de un compromiso inicial.
  • Otorgar acceso a la red en una escala de privilegios mínimos para todos los nuevos empleados. Además, revise periódicamente el acceso a la purple de todos los empleados para reducir el riesgo de comprometer puntos vulnerables y débiles en la pink.
  • Escanee y monitoree activamente el acceso no autorizado o modificaciones de recursos clave. Esto puede ayudar a detectar un posible compromiso como una forma de prevenir o minimizar la pérdida de datos.
  • Divida su pink en segmentos. La división de una pink grande en varias redes más pequeñas ayuda a los administradores a controlar mejor el flujo del tráfico de la purple.
  • Dar a los administradores dos cuentas separadas. Una cuenta debe tener privilegios de administrador para que puedan realizar cambios en el sistema. La otra cuenta se puede utilizar para correo electrónico, implementar actualizaciones y generar informes.

Capacitar a los empleados y asegurar los dispositivos también son dos estrategias clave, según Schless.

«La primera línea de defensa contra los ataques de phishing son sus empleados», dijo Schless. «Hoy en día, es increíblemente importante capacitar a los empleados sobre cómo detectar estos intentos de phishing, especialmente porque trabajan más en dispositivos móviles. Además de capacitar a los empleados, proteger cualquier dispositivo que tenga acceso a su purple es essential para prevenir problemas como este. Si no se protegen esos dispositivos con la protección de terminales moderna, habrá una brecha significativa en su postura de seguridad common «.

Lisa Plaggemier, directora de estrategia del proveedor de ciberseguridad MediaPro, insta encarecidamente a las personas a informar sobre tales ataques.

«Informe siempre de cualquier ataque de ingeniería social, incluido el vishing, al equipo de seguridad de su organización», dijo Plaggemier a TechRepublic. «Lo reportarán a la policía federal. Si cree que acaba de recibir una llamada de un visher y posiblemente dio información que no debería tener, no se avergüence. Recuerde que usted es la víctima. Nunca permanezca en silencio».

Ver también



Enlace a la noticia primary