Comprensión de la superficie de ataque de comunicaciones humanas



Hemos visto un número creciente de divulgaciones de vulnerabilidades, exploits de prueba de concepto e incidentes del mundo authentic que explotan las comunicaciones humanas más allá de los correos electrónicos en canales como Slack, Microsoft Teams y Zoom. Estos canales basados ​​en la nube no solo son un vector de ataque viable, sino también uno cada vez más atractivo para que los delincuentes exploten las comunicaciones humanas, dado el acceso interno exclusivo que pueden proporcionar. Nuestra investigación ha concluido que la cadena de muerte dirigida a las comunicaciones humanas se puede asignar a la cadena de muerte cibernética utilizado para violar empresas.

A medida que el trabajo remoto ha llegado a depender de nuevas herramientas de comunicación más allá del correo electrónico, herramientas que se han vuelto más integrales para la fuerza laboral corporativa, los ataques seguirán creciendo. Las empresas deben comprender la superficie de ataque completa que se dirige a las comunicaciones para implementar la estrategia de seguridad adecuada.

Reconocimiento, armamento y entrega de exploits mediante comunicaciones
Los adversarios utilizan plataformas de comunicación para realizar reconocimientos y recopilar inteligencia valiosa que luego se utiliza para comprometer a las víctimas a través de campañas de ataque de ingeniería social convincentes que involucran varias técnicas como phishing y pretextos. Una táctica común a tener en cuenta es el uso de URL de redireccionamiento abiertas (donde el dominio es para un sitio legítimo pero el cuerpo de la URL incluye una consulta para enviar a las víctimas a otro sitio listado en el parámetro del enlace). En otra campaña reciente, los delincuentes utilizaron invitaciones falsas a reuniones de Zoom para robar credenciales.

Los actores malintencionados también tienen acceso a una gran cantidad de credenciales robadas en la Dark World-wide-web, que se pueden utilizar en relleno de credenciales ataques a cuentas de aplicaciones de colaboración, donde la probabilidad de que los empleados reutilicen la contraseña es alta. Adicionalmente, cookies de usuario para Slack y las cuentas comprometidas están disponibles para su compra en la Dim World-wide-web, en sitios como Genesis. Estos sitios pueden vender cualquier cantidad de cuentas en una botnet, donde las cookies y las huellas dactilares del dispositivo permanecen intactas y, de lo contrario, son indetectables ya que operan en la infraestructura empresarial, lo que permite ataques dirigidos a esas empresas y crea infracciones. Así es como un actor malintencionado obtuvo acceso al canal Slack de Electronic Arts, que fue el punto de entrada para una violación de datos significativa.

Los errores de configuración tanto de las plataformas como de los usuarios ponen con frecuencia en riesgo los datos corporativos. Estas configuraciones incorrectas incluyen configuraciones y permisos predeterminados inseguros, como Comunidades de Salesforce, lo que ha provocado una exposición pública accidental generalizada de los datos por parte de los usuarios, o el problema previamente informado de Slack, que permitió a cualquiera crear una clave API y posteriormente extraer la información de contacto de los canales públicos.

Las organizaciones también cometen errores de forma rutinaria cuando se trata de administrar la configuración de privacidad y las implementaciones adecuadas, dejando ellos vulnerables a fugas de datos y ataques. En muchos casos, estas plataformas de terceros hacen que el intercambio público sea una configuración predeterminada, o tienen prácticas de seguridad complicadas u oscuras que deben cumplirse para evitar una exposición pública, lo que hace que sea relativamente fácil para las empresas tropezarse. El caso reciente de Microsoft Electric power Applications, en el que las principales empresas y los gobiernos estatales y locales expusieron más de 38 millones de registros confidenciales debido a la pautas de seguridad abstrusas, es un claro ejemplo de estos riesgos.

También puede ser difícil para las empresas automatizar configuraciones de seguridad restrictivas para toda su fuerza laboral porque servicios como Slack requieren que el usuario particular person ajuste manualmente configuraciones clave, como establecer una sala de espera para aprobar a los asistentes a la reunión.

Centrarse en las comunicaciones humanas
Una vez que los atacantes han violado cuentas, un adversario puede atacar a sus empleados, equipo de TI y ejecutivos a través de ataques de ingeniería social para robar información de acceso como credenciales, tokens de VPN y otra información.

Dado que estas plataformas no escanean adecuadamente el contenido malicioso, los atacantes pueden cargar malware directamente en el canal de la nube y luego entregárselo a otros usuarios como un archivo adjunto de apariencia legítima. También pueden compartir enlaces maliciosos que llevarán a los empleados a sitios externos que recopilarán sus credenciales o los infectarán con malware.

Los delincuentes también están utilizando aplicaciones de colaboración como medio para llevar a cabo ataques fuera de estas plataformas. Por alojar malware en una plataforma de colaboración como Slack o Discord, un atacante puede enviar enlaces maliciosos a los empleados a través de correos electrónicos de phishing que probablemente eviten las herramientas tradicionales de detección de malware y, al mismo tiempo, pille desprevenidos a los destinatarios. Del mismo modo, los atacantes también están utilizando plataformas basadas en la nube como Google Drive para falsificar documentos compartidos legítimos y alojar enlaces de redireccionamiento maliciosos en ataques de phishing dirigidos.

Cómo gestionar estos riesgos
Es importante que las empresas reconozcan que las amenazas nuevas y antiguas que existen en el correo electrónico se están migrando a otras plataformas de comunicaciones como Slack, Teams y Zoom. Los atacantes han desarrollado su propia cadena de muerte (equivalent a la cadena de muerte cibernética) y repiten un proceso común paso a paso para violar organizaciones a través de estos canales de comunicación basados ​​en la nube. Las empresas también tienen la oportunidad de comprender su nivel de riesgo al inspeccionar su propio tráfico de comunicaciones.

Los atacantes pueden obtener acceso a estos canales de comunicación privados a través de varios medios, por lo que las empresas deben prepararse para el compromiso de las comunicaciones comerciales, el fraude de facturas y los ataques de robo de credenciales y accesos al extender su estrategia de defensa en capas a estos nuevos modos de comunicación.

Las organizaciones deben tener y hacer cumplir políticas estrictas, y realizar capacitaciones periódicas de concienciación sobre seguridad, para reducir el riesgo de robo de datos, robo de credenciales y exposición accidental de datos dentro de estos canales de comunicación corporativos. Esto debe incluir prohibir y monitorear el intercambio de información confidencial (como credenciales de cuenta), cargar archivos o hacer round enlaces e inspeccionar archivos y enlaces para evaluar si están comprometidos. Las empresas también deben restringir el comportamiento del usuario a través de la configuración de permisos de la aplicación, y deben asegurarse de que la configuración de privacidad esté siempre habilitada cuando esté disponible.



Enlace a la noticia initial