Phish conduce a una infracción en el controlador del estado de California – Krebs on Stability


Un ataque de phishing la semana pasada dio a los atacantes acceso a correo electrónico y archivos en el Oficina del Contralor del Estado de California (SCO), una agencia responsable de manejar más de $ 100 mil millones en fondos públicos cada año. Los phishers tuvieron acceso durante más de 24 horas, y las fuentes le dicen a KrebsOnSecurity que los intrusos usaron ese tiempo para robar números de Seguro Social y archivos confidenciales de miles de trabajadores estatales, y para enviar mensajes de phishing dirigidos a al menos otros 9,000 trabajadores y sus contactos.

Un aviso de incumplimiento publicado por la Oficina del Contralor del Estado de California.

En un «Aviso de violación de datos”Mensaje publicado el sábado 20 de marzo, la Oficina del Contralor dijo que durante más de 24 horas a partir de la tarde del 18 de marzo, los atacantes tuvieron acceso a los registros de correo electrónico de un empleado en su División de Propiedad No Reclamada después de que el empleado hizo clic en un enlace de phishing y luego ingresó su ID de correo electrónico y contraseña.

«La SCO tiene motivos para creer que la cuenta de correo electrónico comprometida tenía información de identificación particular contenida en los informes de titulares de propiedad no reclamada», dijo la agencia, instando a los empleados estatales contactados por la agencia a colocar alertas de fraude en sus archivos de crédito con las principales oficinas de consumidores. «El usuario no autorizado también envió correos electrónicos potencialmente maliciosos a algunos de los contactos del empleado de SCO».

La SCO respondió en un correo electrónico que no se comprometieron los datos de los empleados estatales.

«Una cuenta de correo electrónico de un solo empleado se vio comprometida brevemente por un ataque de spear phishing y se desactivó rápidamente», dijo el portavoz de SCO. Jennifer Hanson dicho. “SCO ha notificado a los contactos del empleado que pueden haber recibido un correo electrónico potencialmente malicioso del usuario no autorizado. Los miembros del equipo de SCO identificaron toda la información individual incluida en la cuenta de correo electrónico comprometida y comenzaron el proceso de notificación a las partes afectadas. El Contralor va más allá de los requisitos de notificación de la ley al proporcionar tanto una notificación por correo true como una notificación sustituta en un esfuerzo por garantizar la notificación más amplia posible «.

Historia original:

Pero una fuente de una agencia estatal de California adyacente que ha estado rastreando el incidente internamente con otros empleados dice que la SCO se olvidó de mencionar que los intrusos también tenían acceso a los datos de los empleados suplantados. Archivos de Microsoft Place of work 365 – y potencialmente cualquier archivo compartido con esa cuenta a través de la red estatal.

«Este ni siquiera es el alcance complete de la violación», dijo el empleado del estado de California, quien habló bajo condición de anonimato.

La fuente afirma que los intrusos robaron varios documentos con datos personales y financieros de miles de empleados estatales y luego utilizaron la bandeja de entrada del empleado phishing para enviar correos electrónicos de phishing dirigidos a al menos 9.000 trabajadores del estado de California y sus contactos.

El Contralor del Estado es el Director Fiscal de California, la sexta economía más grande del mundo. Fuente: sco.ca.gov.

Muchos atacantes pueden causar mucho daño con 24 horas de acceso a la cuenta de un usuario. Y la suplantación de identidad (spear-phishing) de otros que interactúan con frecuencia con el SCO a través del correo electrónico podría hacer que los delincuentes tengan aún más acceso a los sistemas estatales. La SCO tiene una enorme cantidad de información individual y financiera sobre millones de personas y empresas que hacen negocios con o en el estado.

Las organizaciones que esperan mejorar la seguridad interna a menudo recurren a empresas que ayudan a los empleados a aprender cómo detectar y esquivar los ataques de phishing por correo electrónico, enviándoles correos electrónicos de phishing simulados y luego calificando a los empleados según sus respuestas. El empleado dijo que, hasta hace muy poco, California estaba utilizando una de esas empresas para ayudarlos a realizar capacitaciones regulares de los empleados sobre el phishing.

Luego, en octubre de 2020, el Departamento de Tecnología de California (CDT) emitido un nuevo conjunto de pautas que efectivamente requieren que todos los ejecutivos, gerentes y supervisores conozcan todos los detalles de un ejercicio de phishing antes de que ocurra. Lo que sugiere que muchas personas que definitivamente deberían hacerse la prueba de phish junto con todos los demás no recibirán la misma capacitación continua.

«Es decir, esas personas no serán evaluadas nunca más», dijo la fuente de la agencia estatal. “Es absolutamente absurdo y nadie en CDT se está apropiando de este descuido. El estándar también se escribió de tal manera que prohíbe eficazmente las pruebas dinámicas como se ve en KnowBe4, donde ni siquiera un administrador sabrá qué plantilla de phishing podría recibir «. (Divulgación completa: KnowBe4 es un anunciante en este sitio).

KrebsOnSecurity se comunicó con el CDT para hacer comentarios y actualizará esta publicación si responden.

Actualización, 3:44 p.m. ET: Se agregaron comentarios y respuestas de la OCS de California.


Etiquetas: Departamento de Tecnología de California, Violación del controlador del estado de California, KnowBe4, phishing

Esta entrada se publicó el martes 23 de marzo de 2021 a las 2:01 p.m. y está archivada en Violaciones de datos.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique