logo-parallax

Blog Interbel

Email + Work Management + Ciberseguridad

Ataque de Phishing desde Google Drive

Ataque de Phishing: se utilizó Google Drive para burlar la seguridad de Microsoft


Protejámonos contra el phishing
Protejámonos contra el phishing

Una campaña específica de spear phishing ha afectado a una organización en el sector de la energía, después de usar un truco inteligente para sortear la pila de seguridad de correo electrónico de Microsoft de la compañía: se recibió un taque de Phishing desde Google Drive. Según Aaron Riley, un investigador de Cofense, la campaña se hizo pasar por el CEO de la compañía objetivo, enviando un correo electrónico a través de Google Drive que pretendía estar «compartiendo un mensaje importante» con los destinatarios. ¿Quién podría dudar del CEO?

El correo electrónico fue enviado legítimamente por Google Drive a los empleados, pero tenía un gran «aviso»: la dirección de correo electrónico no se ajustaba a la convención de nombres de correo electrónico de la empresa objetivo. Pero la mayoría de los empleados no se tomarían el tiempo para verificar eso, señaló Riley. A veces, ahorrar unos pocos segundos puede ser fatal.

«Al utilizar un servicio auténtico, esta campaña de suplantación de identidad (phishing) pudo evitar la Protección en línea de Microsoft Exchange y llegar al usuario final», explicó en un informe publicado esta semana. «La técnica de usar Google Drive para difundir un correo electrónico de phishing ayuda a eludir las medidas de seguridad del correo electrónico debido a la dificultad de bloquear un servicio comercial legítimo».

El enlace dentro del cuerpo del correo electrónico enlaza con un recurso compartido real de Google Drive con documentos para descargar. Además, la herramienta de inspección del cuerpo del correo electrónico de Microsoft no examina a dónde se puede llevar al usuario después de hacer clic en el enlace no malicioso de Google Drive.

Revisemos el mail recibido por los empleados:

Querido colega, te escribo para compartir pensamientos y una revisión con respecto al tema X. Estos están explicados en detalle. Se espera que todos los empleados lo lean, comprendan e interpreten, así como compartan opiniones unos con los otros. Agradezco tu infinita ayuda para mejorar nuestra organización. CLICK AQUÍ PARA VER LA ACTUALIZACIÓN. Nota: el mensaje es de gran importancia y todos los empleados deben acceder al link.

«Incluso si el dispositivo de seguridad fuera más allá del enlace inicial, los enlaces secundarios no se mostrarían en Google Drive como documentos a menos que se descarguen o vean a través del navegador de archivos», dijo Riley.

El ataque de Phishing no es sencillo de detectar porque no hay un daño inmediato

Una vez que un usuario accedió a un documento en Google Drive, no ocurrió nada de inmediato que fuera malicioso. Los objetivos recibieron una explicación de una decisión comercial pública por parte del «CEO» y luego se les pidió ver un documento relacionado a través de otro enlace.

Si los usuarios abrieron ese enlace dentro del documento de Google Drive, fueron redirigidos a una página de inicio de sesión falsa que había sido registrada recientemente en el dominio. Una vez que las víctimas ingresaron sus credenciales, fueron exfiltradas de regreso al atacante.

«El documento utilizado en esta campaña se adaptó en gran medida a la compañía del sector energético objetivo», dijo Riley. «La información clave utilizada en su plantilla de ingeniería social incluía el nombre del CEO, la decisión comercial y el logotipo de la empresa».

Dicho esto, los empleados capacitados para buscar correos sospechosos podrían haber detenido el ataque. Además de que la dirección de correo electrónico del supuesto CEO estaba equivocada, la información sobre la «decisión comercial» estaba desactualizada por un año. Y, dos oraciones en el documento de Google Drive tienen un inglés pobre: «Agradezco tu infinita ayuda para mejorar nuestra organización» y «el mensaje es de gran importancia y todos los empleados deben acceder al link», que son de corte informal. Esto ya es una señal de alarma que no debería haberse dejado pasar.

Riley señaló que exactamente las mismas oraciones se vieron en una campaña de phishing similar dirigida a universidades, lo que indica que el adversario tiene un libro de jugadas conocido, lo que hará que sea más fácil detectar futuros phishing. Al reconocer las frases que han sido ya utilizadas, podría reconocerse un ataque futuro. Es importante, entonces, prestar especial atención al contenido de un mail que se recibe.

Ningún filtro puede bloquear el 100% de todo el correo no deseado. No hay armas infalibles contra un ataque de Phishing.

Los filtros de correo no deseado y las puertas de enlace de correo electrónico han demostrado ser bastante efectivos para bloquear la mayoría de los correos electrónicos no deseados que se envían a diario por miles, pero los ciberdelincuentes siempre están buscando nuevas formas de evitar las medidas de seguridad del correo electrónico a través de la ingeniería social, nuevas cepas de malware y fallas de seguridad recientemente descubiertas reportadas en  Microsoft Exchange Server y plataformas de correo electrónico en la nube. Es por eso que la capacitación de los usuarios seguirá siendo una prioridad para todas las empresas que usan el correo electrónico.

En cuanto a evitar las protecciones de correo electrónico, no hay mucho que hacer, señaló Riley, debido a la naturaleza de Google Drive y la forma en que las organizaciones lo usan. Sin embargo, según el investigador, los dispositivos de filtrado de contenido de red que bloquean dominios recién registrados podrían ayudar.

«Este mecanismo de seguridad habría impedido que el usuario final llegara a la página de inicio de sesión falsa debido a la fecha de registro del sitio web», escribió. «[Pero] incluso si se utilizó un dispositivo de seguridad de red con las capacidades para evitar que el usuario acceda a la página de inicio de sesión, el correo electrónico de suplantación de identidad (phishing) aún no se ha recibido».

Tres cuartas partes (75 por ciento) de las amenazas reportadas al Centro de Defensa de Phishing de Cofense son intentos de phishing de credenciales, encontró Cofense en su informe de Amenazas de Phishing de 2019 , lo que indica que es poco probable que estos ataques disminuyan pronto.

Ataques de phishing y de compromiso de correo electrónico comercial (BEC): cómo evitarlos.


Phishing y protección de nuestros datos. Imagen de un teclado.
Siempre hay individuos predispuestos a «pescar» nuestra información privada.

En una publicación anterior, enumeré los siguientes 10 consejos para evitar ser víctima de correos electrónicos de phishing. Aquí hay un breve resumen. Puedes leer la publicación completa aquí.

10 consejos para protegerse contra un ataque de phishing: cómo reconocer un correo fraudulento
  1. Tenga cuidado con los mensajes disfrazados de algo esperado, como un envío o una notificación de pago.
  2. Esté atento a los mensajes que solicitan información personal. No envíe números de cuenta, números de Seguro Social, tarjetas de crédito, etc. Las compañías legítimas nunca pedirán esto por correo electrónico.
  3. Tenga cuidado con los mensajes urgentes o amenazantes que afirman que su cuenta ha sido suspendida. Si solicitan que haga clic en un enlace para desbloquear su cuenta, ¡cuidado!
  4. Verifique si hay errores gramaticales o de ortografía deficientes.
  5. Pase el mouse antes de hacer clic.
  6. Verifique el saludo: ¿el mensaje está dirigido a un destinatario genérico, como «Cliente valioso» o «Señor / Señora?» Si es así, ¡tenga cuidado y piense dos veces!
  7. Verifique la firma del correo electrónico. Además del saludo, los correos electrónicos de phishing a menudo omiten información importante en la firma. Las empresas legítimas siempre tendrán detalles de contacto precisos en su firma. Si le parece que el cierre de un mensaje parece incompleto o inexacto, es probable que sea spam.
  8. No descargue archivos adjuntos.
  9. Revise la dirección de origen: conozca la diferencia entre las direcciones «sobre de» y «encabezado de» .
  10. Nunca habilite macros.  Nunca confíe en un correo electrónico que le pida que habilite macros antes de descargar un documento de Word.

10 consejos para protegerse contra los ataques de correo electrónico de compromiso de correo electrónico comercial (BEC)

Ataques BEC

Business Email Compromise va más allá de las técnicas estándar de spam al explotar la naturaleza humana y la confianza establecida entre los empleados y los miembros del equipo ejecutivo. Los estafadores utilizan la ingeniería social, la suplantación del CEO y una variedad de otras técnicas para engañar a los usuarios en contabilidad, finanzas u otros puestos de alto poder para que transfieran dinero a las cuentas del estafador.

Estos ataques están bien ejecutados y están dirigidos a individuos específicos. A menudo, toman más tiempo para planificar y lanzar debido a la cantidad de investigación que se dedica a estos ataques. Los ciberdelincuentes usan información disponible públicamente en sitios como LinkedIn, Facebook e incluso el sitio web de la víctima objetivo para obtener información sobre las prácticas comerciales de la compañía. A menudo estudiarán los estilos de escritura del equipo ejecutivo, lo que les permitirá elaborar correos electrónicos convincentes que parezcan auténticos para los empleados. Por ello, es vital que los usuarios sepan protegerse.

Debido a que los ataques de Compromiso de correo electrónico empresarial a menudo están tan bien diseñados, pueden eludir las medidas de seguridad estándar. Estos consejos deberían ayudarlo a identificar un intento de Compromiso de correo electrónico comercial si uno se desliza por su filtro de correo no deseado o puerta de enlace de correo electrónico. No tema, no es tan difícil como parece. ¡Echemos un vistazo!

Estas advertencias le servirán para evitar posibles ataques a su compañía

  1. Capacitar a los usuarios para que reconozcan estas tácticas comunes de suplantación de identidad utilizadas por los cibercriminales
    • Spoofing de nombres de dominio
    • Nombre falso para mostrar
    • Spoofing de dominio similar
    • Cuenta comprometida
  2. Asegure su dominio mediante el registro de dominios similares.
  3. No comparta en exceso en las redes sociales
  4. Use SPF, DKIM y DMARC para proteger su dominio de la suplantación de identidad.
  5. Usar autenticación de dos factores
  6. Use contraseñas seguras
  7. No confíes en fuentes desconocidas
  8. Establecer procesos estrictos para las transferencias bancarias
  9. Proporcionar capacitación regular al usuario final
  10. Ejecute software antivirus con frecuencia

 

Ningún negocio es demasiado grande o pequeño para ser víctima de estafas por correo electrónico. Los delincuentes a menudo apuntan a empresas más pequeñas. Esto sucede porque se basa en el supuesto de que no tienen los últimos sistemas de seguridad. El servidor de correo electrónico MDaemon y Security Gateway para servidores de correo electrónico incluyen una variedad de características para proteger a las empresas del correo no deseado, el malware y las filtraciones de datos confidenciales de la empresa.

Agenda tu demo gratuita de usecure

usecure

Por qué usecure:

    He leído y acepto el aviso legal y política de privacidad .

    Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

    ACEPTAR
    Aviso de cookies