Cómo un ataque vishing engañó a Microsoft para intentar obtener acceso remoto


Una campaña de phishing de voz detectada por Armorblox intentó convencer a las personas de que les dieran a los atacantes acceso a su computadora.

Llamada telefónica de un número desconocido a altas horas de la noche.  Estafa, fraude o phishing con concepto de teléfono inteligente.  Llamador de broma, estafador o extraño.  Hombre respondiendo a una llamada entrante.

Imagen: Tero Vesalainen, Getty Photos / iStockphoto

Un ataque de phishing estándar generalmente implica enviar a las personas un correo electrónico o mensaje de texto falsificando una empresa, marca o producto conocido en un intento de instalar malware o robar información confidencial. Pero una variación llamada vishing (phishing de voz) agrega otro elemento, en el que los ciberdelincuentes hablan con sus víctimas directamente por teléfono o dejan mensajes de voz fraudulentos. A entrada de web site publicada el jueves por la firma de seguridad Armorblox describe una estafa en la que los atacantes intentaron hacerse pasar por Microsoft Defender para persuadir a las víctimas potenciales de que les otorguen acceso remoto.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Esta campaña en distinct comenzó con recibos de pedidos falsos para una suscripción de Microsoft Defender enviados a través de dos correos electrónicos diferentes. Cada uno de los dos mensajes incluía un número de teléfono para llamar por cualquier problema relacionado con las devoluciones de pedidos. Llamar a uno de los números desencadenó el ataque vishing en el que el delincuente instruyó a la víctima para que instalara un programa para darles acceso remoto a la computadora de la persona.

Enviados desde una cuenta de Gmail, los correos electrónicos iniciales usaban un nombre de remitente de «Tienda en línea de Microsoft» y una línea de asunto de «No de confirmación de pedido» seguido de un número de factura largo. Los correos electrónicos tomaron prestados la apariencia y el diseño de los correos electrónicos reales de Microsoft e incluso incluyeron información sobre una suscripción para Microsoft Defender Highly developed Safety que supuestamente fue solicitada por el destinatario.

Los correos electrónicos solicitaban a la persona que se pusiera en contacto con los representantes de atención al cliente para obtener más información sobre el pedido, incluidos los números gratuitos para llamar. Dado que el pedido period falso, cualquiera que reciba un mensaje como este naturalmente estaría preocupado por que le cobren un artículo que nunca compró.

Los investigadores de Armorblox llamaron a ambos números que figuran en los dos correos electrónicos. Un número simplemente sonó sin que nadie contestara. Pero el otro número fue respondido por una persona serious que se hacía llamar Sam. Al solicitar el número de factura que figura en el correo electrónico, «Sam» dijo que la única forma de obtener un reembolso era completando un formulario de información. Para ayudar al usuario en este proceso, Sam sugirió instalar AnyDesk, un programa que brinda acceso a Pc remotas.

Después de que la gente de Armorblox hiciera demasiadas preguntas, Sam pareció sospechar y terminó la llamada. Pero la intención fue clara. Los atacantes querían que las víctimas instalaran AnyDesk, a través del cual podían acceder de forma remota a la Computer system de la persona a través del Protocolo de escritorio remoto de Microsoft. El objetivo puede haber sido instalar malware o ransomware, robar credenciales de inicio de sesión o obtener información confidencial.

Un ataque como este utiliza varias tácticas para parecer convincente y eludir la protección de seguridad estándar. Los correos electrónicos intentaron transmitir un sentido de confianza, ya que parece provenir de Microsoft. Su objetivo era crear un sentido de urgencia al afirmar que el destinatario pidió una suscripción por algo que obviamente no ordenó. Los correos electrónicos no incluían ningún enlace o contenido claramente malicioso que, de otro modo, podría evitar que llegue a la bandeja de entrada de alguien. Además, los correos electrónicos provenían de una cuenta de Gmail legítima, lo que les permitía pasar cualquier verificación de autenticación.

Para ayudar a protegerse a sí mismo y a su organización de estos tipos de estafas vishing, Armorblox ofrece varios consejos útiles:

  1. Complemente la seguridad de su correo electrónico nativo. Los correos electrónicos iniciales descritos por Armorblox se coló más allá de la seguridad del correo electrónico de Google Workspace. Para una mejor protección, mejore la seguridad de su correo electrónico integrado con capas adicionales que utilizan técnicas más avanzadas. De Gartner Guía de mercado para la seguridad del correo electrónico analiza los nuevos métodos que los proveedores introdujeron en 2020.
  2. Esté atento a las señales de ingeniería social. Con la sobrecarga de correo electrónico, es fácil dejarse engañar por un correo electrónico malicioso que parece legítimo a primera vista. En su lugar, debe interactuar con dichos correos electrónicos de manera metódica. Inspeccione el nombre del remitente, la dirección de correo electrónico y el idioma utilizado en el correo electrónico. Compruebe si hay inconsistencias en el mensaje que lo lleve a hacerse preguntas como: «¿Por qué se envía un correo electrónico de Microsoft desde una cuenta de Gmail?» y «¿Por qué no hay enlaces en el correo electrónico, ni siquiera en el pie de página?»
  3. Resista compartir información confidencial por teléfono. Tenga cuidado con cualquier persona que llame no solicitada y que le solicite información confidencial o le indique que descargue algo por teléfono. Si cree que la llamada telefónica es una estafa, simplemente cuelgue. Si la persona proporciona un número de devolución de llamada, no lo llame. En su lugar, busque en el sitio internet de la empresa un número de servicio al cliente y llame a ese.
  4. Siga las mejores prácticas de contraseñas. Para proteger sus cuentas en línea, no reutilice sus contraseñas, evite contraseñas que se relacionen con su fecha de nacimiento u otros eventos personales, no use contraseñas genéricas y confíe en un administrador de contraseñas para crear y mantener contraseñas complejas. Además, configure la autenticación multifactor (MFA) en sus cuentas comerciales y personales siempre que sea posible.

Ver también



Enlace a la noticia unique