Cómo los ataques de compromiso de correo electrónico empresarial emulan servicios web legítimos para atraer clics
Avanan, una unidad de Check Point Software, ha rastreado un ejemplo reciente de esta familia de ataques, en el que los piratas informáticos crearon cuentas gratuitas de Dropbox para obtener credenciales u ocultar malware en documentos de apariencia legítima y contextualmente relevantes, como los currículums de los empleados potenciales.
El ataque, descubrió la empresa de seguridad, comenzó cuando los actores compartieron un PDF del currículum de alguien a través de Dropbox. El objetivo no puede ver el documento a menos que agregue a Dropbox. El enlace de Dropbox parecía legítimo, lo que dificultaba la detección del exploit.
El exploit de phishing implica estos pasos:
- Primero, un usuario hace clic en el enlace de una notificación legítima de Dropbox a un currículum y accede a una página alojada en el servicio de intercambio de archivos.
- Luego, el usuario debe ingresar su cuenta de correo electrónico y contraseña para ver el documento. Esto significa que los actores de amenazas tienen acceso a direcciones de correo electrónico y contraseñas.
En esta página alojada en Dropbox, se solicita a los usuarios que ingresen su cuenta de correo electrónico y contraseña para ver el documento, lo que les otorga a los actores de amenazas las credenciales de usuario.
Una vez que un usuario ingresa sus credenciales, se lo dirige a un enlace falso de Microsoft OneDrive. Al hacer clic en el enlace, los usuarios reciben una descarga maliciosa.
“Hemos visto a piratas informáticos realizar muchos ataques BEC”, dijo Jeremy Fuchs, investigador/analista de seguridad cibernética de Avanan, en un informe sobre el ataque. “Estos ataques tienen varias variaciones, pero generalmente intentan engañar a un ejecutivo o socio para que un usuario final haga algo que no quiere hacer (como pagar una factura en el lugar equivocado)”, dijo.
Avanan dijo que prevenir estos ataques sigilosos requiere una serie de pasos defensivos, incluido el análisis de archivos maliciosos en Dropbox y enlaces en documentos, así como el reemplazo de enlaces en el cuerpo del correo electrónico y en los archivos adjuntos. La clave de la educación contra estos ataques de ingeniería social es el contexto, según Fuchs: “¿Los currículums se envían normalmente a través de Dropbox? De lo contrario, puede ser una razón para ponerse en contacto con el remitente original y verificar dos veces. Si lo son, dé un paso más allá. Cuando inicia sesión en Dropbox, ¿tengo que iniciar sesión nuevamente con mi correo electrónico?”
Linktree también se usa para obtener credenciales
A principios de este mes, Avanan descubrió un truco similar utilizando la página de inicio de referencia de las redes sociales Linktree, que está alojada en sitios como Instagram y TikTok. De manera similar a los ataques de Dropbox, los piratas informáticos crearon páginas legítimas de Linktree para alojar URL maliciosas para recolectar credenciales.
Los atacantes enviaron a los objetivos notificaciones falsificadas de Microsoft OneDrive o SharePoint de que se había compartido un archivo con ellos, indicándoles que abrieran el archivo, según Avanan. En última instancia, se redirige al usuario a una página de inicio de sesión falsa de Office 365, donde se le pide que ingrese sus credenciales, donde se las roban.
En estos casos, la firma sugiere que los destinatarios:
- Compruebe siempre la dirección del remitente antes de responder a un correo electrónico.
- Deténgase y piense si el medio que se utiliza para entregar un archivo es típico.
- Al iniciar sesión en una página, verifique dos veces la URL para ver si es Microsoft u otro sitio legítimo.
Los ataques BEC que usan sitios legítimos pueden escalar este año
Fuchs dijo que no hay señales visuales obvias para alertar a los destinatarios del ataque sobre las vulnerabilidades de BEC. “Aunque si tuviera que iniciar sesión en la página de Dropbox, vería que hay un logotipo y un enlace de OneDrive”, dijo. “Los usuarios con ojos de águila deberían notar esa discrepancia y pensar: ¿por qué habría dos servicios en competencia en una página?”, agregó.
Predijo que estos ataques se intensificarán. “Cualquier servicio popular que sea legítimo puede potencialmente usarse como un vehículo para entregar este tipo de actividad maliciosa. Es por eso que esperamos que despegue en un futuro cercano”, dijo, y agregó que el exploit se ha utilizado decenas de miles de veces. “Creemos que esto realmente despegará en volumen en la segunda mitad del año”, dijo.