La nueva técnica de phishing de URL con formato incorrecto puede hacer que los ataques sean más difíciles de detectar


Los piratas informáticos ahora envían mensajes que ocultan enlaces falsos en el prefijo HTTP, sin pasar por los filtros de correo electrónico, dice la firma de seguridad GreatHorn.

istock-625496696phishing.jpg

Getty Images / iStockphoto

La empresa de seguridad de correo electrónico GreatHorn advierte una nueva forma de ataque de phishing eso hace que los mensajes maliciosos pasen más fácilmente por los filtros y sea más difícil para la persona promedio detectarlos a simple vista. Al ocultar información de phishing en los prefijos de las URL, los atacantes pueden enviar lo que parece un enlace a un sitio web legítimo, libre de errores ortográficos y todo, con una dirección maliciosa oculta en el prefijo del enlace.

Los programas de escaneo de correo electrónico, dijo GreatHorn en una publicación de website, no están configurados para detectar este tipo de ataques porque no cumplen con los malos criterios conocidos. Estos ataques fueron detectados por primera vez por GreatHorn en octubre de 2020 y se han convertido rápidamente en una seria amenaza: entre la primera semana de enero de 2021 y principios de febrero de 2021, el volumen de ataques que utilizan prefijos de URL mal formados aumentó en un 5,933%.

Los prefijos son una parte basic de las URL y abarcan el protocolo world wide web con el que se utilizará el enlace para conectarse, como HTTP, HTTPS, FTP y otros. Normalmente, un prefijo termina con dos puntos y dos barras diagonales (p. Ej., Http: //). En el caso de este nuevo truco, los atacantes colocan la segunda barra inclinada hacia adelante a favor de una barra invertida (por ejemplo, http: / ) y luego introducen una URL maliciosa en el prefijo antes de ingresar el nombre de dominio legítimo, que se trata como subdirectorios adicionales de la página maliciosa, perfectos para crear un sitio web de phishing.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

«Los navegadores son indulgentes y asumen que pretendías hacer &#39//&#39 cuando escribes accidentalmente &#39/ &#39, por lo que lo &#39arreglan&#39 por ti y lo convierten automáticamente a http: //, lo que te lleva al destino», dijo GreatHorn. CEO Kevin O&#39Brien.

«Los ciberdelincuentes pueden colocar enlaces maliciosos en el correo electrónico en una bandeja de entrada, y cuando alguien hace clic en él o lo copia y pega, aunque esté mal formado de acuerdo con las especificaciones, el navegador lo lleva allí de todos modos», dijo O&#39Brien.

GreatHorn dijo que ha detectado este tipo de ataques de URL mal formadas en todo tipo de organizaciones, pero los productos farmacéuticos, los préstamos, la gestión de contratación y construcción y las telecomunicaciones han sido los más afectados. Además, las organizaciones que ejecutan Office environment 365 han sido atacadas con más frecuencia.

El ataque comenzó en octubre con intentos de phishing que imitaban los mensajes de correo de voz enviados por correo electrónico, una táctica que ha sido común y exitosa durante varios años. Desde entonces, dijo GreatHorn, el ataque de prefijo de URL con formato incorrecto ha comenzado a usar nuevas tácticas, como:

  • Falsificación de nombres para mostrar para engañar a los usuarios haciéndoles pensar que el correo electrónico es interno.
  • Usar dominios y remitentes desconocidos para engañar a los filtros que buscan actores maliciosos conocidos,
  • Cargas útiles que contienen enlaces que utilizan dominios redirectores abiertos,
  • Mensajes urgentes destinados a engañar a los usuarios para que se apresuren a cometer un mistake.

Un ejemplo de enlace de correo electrónico de phishing incluido en la publicación del weblog demuestra cómo un mensaje de correo de voz falso engaña a los usuarios para que entreguen sus credenciales de cuenta de Microsoft, con pruebas de reCAPTCHA falsas y direcciones de correo electrónico autocompletadas para dar más credibilidad al sitio.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Si bien este nuevo ataque es complicado y difícil de detectar para los usuarios, GreatHorn dijo que hay una solución relativamente straightforward: configurar el filtrado de correo electrónico para buscar «http: / » y eliminar todas las coincidencias. Si bien esto puede conducir a falsos positivos si alguien comete un mistake tipográfico, vale la pena tener que reenviar un mensaje cuando su seguridad particular person y organizacional está en juego.

Ver también



Enlace a la noticia authentic