4 intrigantes ataques por correo electrónico detectados por la IA en 2020



Brindo por el más disimulado de los disimulados. Estos inteligentes mensajes de phishing, que las medidas de validación estándar a menudo pasan por alto, merecen el deshonor adecuado.
(Patrocinado)

Los ciberatacantes utilizaron y abusaron del correo electrónico de muchas formas creativas y fructíferas el año pasado. Inundaron las bandejas de entrada con program de miedo. Se hizo cargo de las cuentas y manipuló la confianza de las empresas en sus proveedores. Pasaron los mensajes maliciosos más allá de los controles de validación estándar Trataron los dominios como si fueran desechables usar un dominio brevemente y luego descartarlo antes de que las herramientas de seguridad puedan golpearlo con una mala reputación.

Sí, fue un año emocionante para los ataques por correo electrónico. Pero, ¿qué ataques fueron los más geniales de todos?

Dan Fein, director de productos de seguridad de correo electrónico de Darktrace, nos da sus favoritos, detectados por Correo electrónico de Antigena de Darktrace Herramienta de seguridad de correo electrónico impulsada por IA. Aquí están los cuatro primeros que recibieron ese dudoso honor:

1. Oculto en la nieve
Los esquiadores que esperan escapar de la cuarentena podrían verse tentados fácilmente por los mensajes que ofrecen ofertas para las pistas de Vail Resorts. Y si es así, podrían haber sido víctimas de un ingenioso approach de robo de credenciales.

El enlace de phishing dentro del mensaje parecía enviar a los usuarios a Vail Resorts y luego redirigirlos a Snow.com, la empresa asociada legítima del vacation resort y el servicio de reservas. Sin embargo, eso no fue todo lo que hizo.

Fein apunta al parámetro «p1» en la URL. El atacante envió a la víctima a una página de inicio de sesión falsa en s-ay.xyz. Para respaldar aún más el disfraz, la página de inicio de sesión falsa se cargó previamente con la dirección de correo electrónico de la víctima en el campo «nombre de usuario». Y debido a que la URL es tan larga, incluso un usuario con conocimientos de seguridad que se desplazó diligentemente sobre el hipervínculo para verificar su destino antes de hacer clic probablemente solo habría visto una URL truncada, sin ver nunca el parámetro sospechoso.

«Esto no sería detectado (por la mayoría de las herramientas de seguridad) porque vailresorts.com tiene una reputación limpia». dice Fein. «Creemos que es interesante porque si miras este enlace de cierta manera, pueden detectar este tipo de cosas. usted pueden reconozca que es un vínculo inusual, porque hay un redireccionamiento oculto allí «.

2. Furtivamente por SPF
«Siempre que vemos verificaciones de validación como SPF o DKIM que dicen que este mensaje se envía desde la infraestructura desde la que esperamos que se envíe», dice Fein, «entonces nuestros clientes dicen &#39oh SPF aprobado, DKIM aprobado. ¿No es bueno (este mensaje)? &#39 Y luego pensamos &#39no&#39. usted siempre quiero levantar la guardia «.

Caso en cuestión: un mensaje supuestamente del departamento de TI de la empresa objetivo, que enlaza con un formulario de Microsoft Business. Precargó la dirección de correo electrónico del usuario en la página de inicio de sesión de Business office 365. El mensaje pasó las comprobaciones de validación de SPF y DKIM.

Sin embargo, Darktrace detectó que probablemente se envió desde una cuenta comprometida. (Y no solo porque el mensaje contenía una sintaxis extraña como la frase «Hacer clic en contraseña»).

«(Antigena busca) contexto», dice Fein. Cita algunos ejemplos de contexto potencialmente anómalo. «Entonces, de repente, lo que normalmente proviene de Outlook proviene de una secuencia de comandos de Python. Solo mirando los agentes de usuario de un correo electrónico cosas que comienzan a parecer automatizadas. O la infraestructura, aunque proviene de Outlook, tal vez se envía desde ( un país inesperado) «.

3. Un vínculo poco apetitoso
Aquí hay otro ejemplo de un mensaje que dice ser del servicio de asistencia de TI y que no fue de ninguna ayuda. El atacante deslizó algunos caracteres no latinos en el nombre del remitente. (Algunos atacantes ahora usan texto oculto en el que colocan caracteres invisibles entre las letras de un correo electrónico para que no active las defensas del correo electrónico con frases como «servicio de asistencia» o «contraseña caducada»).

El mensaje en sí period inocuo, dice Fein. El documento adjunto a ese mensaje también era relativamente sencillo. Pero un hipervínculo dentro de ese documento … eso fue un problema. Se hizo pasar por un enlace a un servicio de reserva de reservas de restaurantes en línea, pero en realidad period malicioso.

Fein dice que Darktrace puede realizar una serie de acciones específicas, dependiendo de la gravedad del riesgo: redirigir un enlace sospechoso, cortar el enlace por completo, eliminar el archivo adjunto del mensaje o bloquear el mensaje, por ejemplo.

«Así que el hecho de que un archivo adjunto tenga un &#39algo&#39 sospechoso no significa que deba retener (el archivo adjunto) por completo», dice, «pero en este caso, lo hizo».

4. Fallo de pasarela de correo electrónico
Otro favorito del éxito de Fein cerca de casa para él, porque el atacante engañó a una empresa de seguridad de correo electrónico. El mensaje provino de una dirección de Cisco Ironport falsificada y afirmó contener un archivo de almacenamiento.

No existía una relación entre el remitente y el destinatario (marque uno contra este mensaje), pero otra anomalía también hizo sonar las alarmas. La colección de destinatarios en sí fue identificada por la IA de Darktrace como muy inusual.

Como explica Fein, es más possible que algunos grupos de usuarios estén juntos en un hilo de mensajes y otros no se espera que algunos reciban mensajes externos de remitentes desconocidos y otros no. Por lo tanto, si se envía un mensaje a un grupo aleatorio de empleados del departamento de recursos humanos, el equipo de desarrollo y otras líneas de negocios no relacionadas, por ejemplo, la tecnología de Darktrace lo notará.

Los ataques de correo electrónico que impresionaron (y angustiaron) a Fein este año son los que utilizaron técnicas inteligentes para dar a los destinatarios, y sus herramientas de seguridad, más razones para confiar en ellos.

«Usan alguna compañía que usted puede reconocer. O reconocer su infraestructura … O recibe un correo electrónico de alguien que conoce y luego cree que está ingresando para responderle», dice. «Todo simplemente añade credibilidad al hecho de que lo que estás a punto de hacer tiene sentido».

The Edge es el hogar de Dark Looking at para características, datos de amenazas y perspectivas detalladas sobre ciberseguridad. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original