Los usuarios de Zoom y otras herramientas de videoconferencia deben ser conscientes del creciente riesgo de ataques de suplantación de identidad. Incluso el uso de otras plataformas de video para mantenerse en contacto con amigos a nivel social ahora representa un mayor riesgo de seguridad.
Un informe publicado este mes por el científico jefe de datos Eli Sanders tinta, tratando de concienciar sobre esta creciente vulnerabilidad. INKY es una plataforma de seguridad de correo electrónico basada en la nube que utiliza inteligencia artificial para detectar signos de fraude, así como spam y malware.
Los investigadores de INKY encontraron ataques de Australia, Alemania, EE. UU. y otros lugares. Los ciberdelincuentes se están aprovechando del crecimiento exponencial de usuarios que recurren a Zoom y Teams para colaborar en redes de trabajo y amigos.
Tabla de Contenidos
Frenesí de phishing
Este año, Zoom ha experimentado un crecimiento sin precedentes de nuevos usuarios, en gran parte impulsado por los bloqueos por la pandemia de COVID-19. El gigante de las videoconferencias basadas en la web saltó de 10 millones de participantes en reuniones diarias en diciembre a 300 millones en abril de este año.
El rápido aumento en el número de usuarios ha provocado un «verdadero frenesí de phishing», con ciberdelincuentes de todo el mundo tratando de aprovechar las estafas y los fraudes. Estos incluyeron una gran cantidad de invitaciones a reuniones falsas que se hicieron pasar por Zoom y Teams para ataques de phishing en un intento de robar información confidencial de los usuarios.
«Algunos usuarios pueden no entender las precauciones o [be] Familiarícese con el funcionamiento de Zoom. El objetivo de esta campaña de phishing es robar las credenciales de Microsoft, pero en realidad no es necesario iniciar sesión en una cuenta de Microsoft para unirse a una reunión de Zoom», dijo Sanders a TechNewsWorld.
También es común un problema relacionado llamado «Zoom bombing». Agregó que los trolls y los piratas informáticos sabotean las reuniones públicas desprotegidas al cargar contenido gráfico objetable, enlaces maliciosos y malware.
Otras plataformas también están en riesgo. Los malos actores también envían correos electrónicos de phishing similares haciéndose pasar por Microsoft Teams, Skype, RingCentral y Cisco Webex.
¿Por qué el alboroto?
Cuando se roban las credenciales de inicio de sesión de alguien, los ladrones venden información en la web oscura a múltiples actores maliciosos. Los phishers también obtienen acceso instantáneo a la cuenta de Microsoft de la víctima, explicó Sanders, para que puedan ver todos los correos electrónicos, acceder a cargas confidenciales en OneDrive o enviar correos electrónicos de phishing desde la cuenta comprometida.
INKY afirma que su tecnología evitó alrededor de 5000 de estos ataques de phishing. La empresa destacó el origen y el mecanismo de ataque de 13 plantillas de phishing únicas, todas diseñadas para engañar a los usuarios de Zoom para que revelen credenciales confidenciales que permiten a los ciberdelincuentes robar miles de millones de dólares cada año.
Las pérdidas promedio totalizaron casi $75,000 por empresa cada evento en 2019. Estos tipos de ataques de phishing pueden poner a las PYMES en un aprieto.No en vano, la expresión «Zoom & Doom» es parte de INKY Reporte título.
El estado de novato de Zoom y el afán de adaptarse a la tendencia de trabajar desde casa han convertido a la plataforma de video en un objetivo común para los ataques. Sanders dijo que Zoom ha visto muchos usuarios nuevos desde que los estudiantes y el personal ahora confían en él para reemplazar las reuniones en persona.
estar alerta en todo momento
Una cosa es saber que estas estafas de phishing están en aumento, a lo grande. Poder evitar ser su víctima es otra cosa.
Los señuelos comunes de phishing son notificaciones falsas a través del correo de voz, alertas de nuevos documentos y actualizaciones de cuentas. Según Sanders, los atacantes a menudo tienen como objetivo obtener credenciales o instalar malware con archivos adjuntos de correo electrónico.
Un paso esencial que las organizaciones pueden ofrecer a sus empleados es la capacitación en concienciación del usuario para ayudar a aquellos que normalmente interactúan con estos ataques de phishing a aprender a sospechar de sus correos electrónicos.
Una estrategia es hacer que el usuario verifique manualmente las pistas que pueden ser bastante obvias. Por ejemplo, busque remitentes desconocidos, desplace el cursor sobre un enlace (sin hacer clic) para revelar la URL incrustada detrás de él y sospeche de los archivos adjuntos, aconseja Sanders.
Muchas empresas también han invertido en puertas de enlace de correo electrónico seguras (SEG) en un intento de detectar estos correos electrónicos maliciosos. Pero señala que los malos actores siempre son creativos y siempre engañan a los usuarios y a estos sistemas heredados.
Tanto las computadoras del trabajo como los dispositivos móviles pueden acceder fácilmente a estas plataformas. En teléfonos y tabletas, las pantallas más pequeñas ocultan muchas de las señales de alerta para las que los empleados han sido capacitados, dice Hank Schless, gerente senior de soluciones de seguridad. Ten cuidado.
«Estos dispositivos también acortarán los nombres de los archivos o las URL que pasan los actores de amenazas. Esto dificulta la detección de nombres de archivos o sitios web sospechosos», dijo a TechNewsWorld.
Si un usuario hace clic en un enlace malicioso y va a una página de phishing, es casi imposible detectar la diferencia entre las páginas reales y las falsas. Schless explicó que si los empleados no están familiarizados con la interfaz de la plataforma, es menos probable que detecten obsequios en la página de phishing, o incluso que se pregunten por qué se les pide que inicien sesión en primer lugar.
El peligro acecha
Incluso antes de la COVID-19 y el trabajo remoto en todo el mundo, los delincuentes a menudo usaban enlaces falsos de Google G-Suite y Microsoft Office 365 para tratar de phishing a los empleados de la empresa. Con todos obligados a trabajar desde casa, la cantidad de personas que usan Zoom y Teams ha aumentado drásticamente.
Los actores malintencionados saben que los nuevos usuarios no están familiarizados con estas aplicaciones. Como resultado, los ciberdelincuentes usan direcciones URL maliciosas y archivos adjuntos de mensajes falsos para atraer objetivos a páginas de phishing, señaló Schless.
Según Lookout, las tasas de phishing móvil para los usuarios de Office 365 y G-Suite son un 200 por ciento más altas que las de aquellos que no los usan. Si el enlace o la documentación parecen parte de un ecosistema de aplicaciones que ya usa, es más probable que los empleados participen.
«Cuando sus empleados están fuera de la oficina y en movimiento, es probable que estén viendo documentos en dispositivos móviles», agregó.
Cosas como esta probablemente siempre serán un problema en todo tipo de plataforma. Según el gerente de producto Bryan Becker, esta es solo la versión 2020 de phishing o spear phishing (envío de correos electrónicos falsos dirigidos). seguridad de sombrero blanco.
«Incluso las plataformas de videojuegos tienen problemas con los delincuentes que utilizan estas técnicas para robar moneda virtual», dijo a TechNewsWorld.
Todo lo que hay que hacer, observó Becker, es observar una de las principales campañas recientes de phishing dirigidas a los usuarios de Twitter.
«El reciente incidente en Twitter es un ejemplo perfecto de los peligros potenciales que acechan bajo un ataque», dijo.
Se refería a un anuncio del 30 de julio realizado por funcionarios de Twitter sobre un ataque telefónico sin precedentes de phishing dirigido el 15 de julio contra 130 personas, incluidos directores ejecutivos, celebridades y políticos. Los atacantes tomaron el control de 45 de estas cuentas y las usaron para enviar tweets que promocionaban estafas básicas de bitcoin.
Truco revelado
El informe de INKY identificó múltiples técnicas utilizadas por los atacantes en las campañas de Zoom y Teams. Sanders destacó algunas de estas técnicas:
- Enlaces maliciosos a páginas de inicio de sesión falsas de O365 o Outlook donde una simple copia y pegado del código fuente/HTML real de Microsoft hace que parezca muy convincente para el usuario;
- Cree una página de inicio de sesión falsa como un archivo adjunto HTML para el host local en la computadora del usuario. Incluir archivos adjuntos evita que SEG encuentre enlaces en listas de bloqueo de la industria/verificadores de reputación. Además, los archivos adjuntos están codificados para que no puedan ser leídos por humanos o un SEG típico;
- Los atacantes utilizan la información de las direcciones de correo electrónico de los usuarios para personalizar los correos electrónicos de phishing. El atacante agrega el nombre del usuario o de la empresa como parte de Desde el nombre para mostrar, el contenido del correo electrónico, el enlace malicioso (creado dinámicamente), el nombre de la reunión de Zoom;
- El logotipo falso es en realidad solo texto y trucos de CSS para que parezca un logotipo a fin de pasar el SEG.
Sanders detalló otras técnicas que usan los atacantes para lanzar ataques de phishing. Por ejemplo, usan cuentas secuestradas para pasar cualquier verificación de SPF o DKIM, o crean nuevos dominios con nombres reales para engañar a los usuarios, como Zoom Communications.com o Zoom VideoConfrence.com.
¿Notaste un error tipográfico? Los errores de ortografía y gramática son pistas típicas de un ataque. Pero muchos usuarios simplemente no notan estas cosas.
Sanders explicó que, si bien algunas de las cuentas secuestradas son bien conocidas y se pueden encontrar en las listas negras de la industria, las nuevas cuentas intentan implementar ataques de día cero para eludir SEG. Eventualmente, fueron descubiertos y bloqueados. Pero al mismo tiempo, pueden pasar SEG.