Cómo los ataques de phishing que suplantan a Microsoft están eludiendo la detección de seguridad


Los correos electrónicos de phishing utilizan un logotipo de Microsoft dentro de una tabla HTML, que no es analizada por los programas de seguridad, dice Inky.

Botón PHISHING en el teclado de la computadora

Imagen: Getty Visuals / iStockphoto

Los ciberdelincuentes que se especializan en campañas de phishing siempre están inventando nuevas tácticas para escabullirse de las herramientas de seguridad tradicionales. En una campaña reciente descubierta por el proveedor de seguridad de correo electrónico Inky, los atacantes que se hacen pasar por Microsoft están utilizando un método tortuoso para falsificar el logotipo más reciente del gigante del application. Publicado el miércoles, el informe de Inky «La estafa de suplantación del logotipo de Microsoft Desk«explain cómo funciona este método.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

La estafa se aprovecha del código HTML al incorporar una tabla incrustada que contiene una versión falsificada del logotipo de Microsoft. Esto funciona porque los programas de seguridad del correo electrónico no analizan las tablas porque no se han utilizado tradicionalmente en correos electrónicos de phishing. El logotipo falsificado se parece al logotipo authentic de Microsoft, por lo que el contenido puede pasar por los filtros de seguridad y parece legítimo para las víctimas potenciales.

Irónicamente, la propia Microsoft contribuyó inadvertidamente a este prepare. La antigua imagen del logotipo de la empresa mostraba los cuatro colores familiares en un estilo tridimensional y contorneado. En 2012, Microsoft cambió y simplificó su logotipo utilizando los mismos colores pero en un diseño plano y bidimensional. Debido a su simplicidad, el nuevo logotipo es más fácil de falsificar, ya que cualquiera puede crear cuatro celdas en una tabla, cada una con uno de los cuatro colores como fondo.

microsoft-old-and-new-logo-inky.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/04/28/58a67378-f716-4e1e-8e84-bcb8a07bebe1 /resize/770x/834781abaa36ca1417f54c9594a478e1/microsoft-old-and-new-logo-inky.jpg

Imágenes: Microsoft

En su informe, Inky citó tres campañas de phishing en las que el emblem falso jugó un papel.

Correo electrónico falso de SharePoint

En este caso, el logotipo HTML personalizado aparece en una notificación de fax falsa. Al mostrar el logotipo con la marca de SharePoint, el correo electrónico contiene un vínculo para la supuesta notificación que dice: «Obtenga una vista previa o descargue aquí». Al hacer clic en el enlace, el usuario accede brevemente al sitio de UNICEF en China y luego lo redirige a un sitio de herramienta de desarrollo web legítimo llamado CodeSandbox, donde se instala malware en la computadora. La tabla y el logotipo falsos combinados con redireccionamientos a sitios legítimos pueden engañar a las personas para que muerdan el anzuelo.

sharepoint-phishing-email-inky.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/04/28/24f779c9-8b3c-4c29-8bfb-678af9cd5353/resize/770x /8af5759991ad236a29dc11333074ed14/sharepoint-phishing-email-inky.jpg

Imagen: Inky

Suplantación de Business office 365

Al usar Business office 365 con el logotipo de Microsoft falsificado, esta campaña advierte a los destinatarios que su contraseña ha expirado. El correo electrónico contiene un enlace que dice: «Conservar mi contraseña real». Al hacer clic en el enlace, los usuarios se dirigen a una plataforma de correo electrónico de marketing and advertising secuestrada pero legítima y luego se redirige al sitio de CodeSandbox para instalar malware. Una vez más, el atacante utiliza el logotipo falso, la tabla incrustada y redireccionamientos abiertos para engañar a las víctimas potenciales.

office365-phishing-email-inky.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/04/28/3f653931-dfb9-4753-8cd1-ed08fb944457/resize/770x /bfcdb2d5b6802621b9dd488ae3df804b/office365-phishing-email-inky.jpg

Imagen: Inky

Notificación de correo de voz falsa

En esta campaña, el logotipo falso de la tabla HTML se coloca en una notificación de correo de voz falsa. El enlace malicioso está oculto en un archivo adjunto HTML codificado en hexadecimal para escabullirse de la detección de seguridad tradicional. Al utilizar el logotipo de Microsoft, un enlace malicioso oculto y cadenas hexadecimales, el correo electrónico puede escapar mejor a la detección de seguridad y engañar al destinatario.

voice-message-phishing-email-inky.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/04/28/aa121326-1941-4d71-a8bf-f21b1d83be66/resize /770x/7c849333b8e17ce7776bf26fb3a74072/voice-message-phishing-email-inky.jpg

Imagen: Inky

Recomendaciones

Este tipo de sofisticados correos electrónicos de phishing son difíciles de discernir. Parecen legítimos para el ojo humano. Y escapan al tipo de detección y protección que ofrecen los productos tradicionales de filtrado y seguridad de correo electrónico, incluidos los de la propia Microsoft.

La mejor manera de analizar este tipo de ataques es utilizar tanto humanos como máquinas y comparar los resultados. Incluso si el correo electrónico está diseñado de forma tan experta que parece legítimo para el destinatario, una buena herramienta anti-phishing puede saber si realmente proviene de un dominio genuine de Microsoft. Dicha herramienta usaría visión por computadora e inteligencia artificial para ver que la tabla HTML intenta usar un logotipo de Microsoft. Entonces, el sistema determinaría si el remitente es realmente Microsoft.

Ver también



Enlace a la noticia unique