Dado que la mayoría de sus empleados hacen negocios desde casa para escapar de la pandemia, los estafadores han acelerado sus trucos para intimidar a las víctimas en esquemas de recolección de credenciales.
Dos nuevos informes exponen nuevas formas en que los estafadores digitales están utilizando métodos antiguos para hacer que, sin saberlo, renuncie a sus credenciales de inicio de sesión para sus portales de servidor y banca en línea personal o corporativa. Ambos informes se centran en cómo evitar ser víctimas de empresas o consumidores.
Un nuevo giro es detallado por armadurablox Amenazas de reciclar direcciones inactivas a menos que las víctimas potenciales actualicen y confirmen los detalles de su cuenta de inmediato. Esto hace que los destinatarios temerosos ingresen su dirección de correo electrónico legítima y la información de la contraseña.
Segundo informe, de la empresa de protección contra el phishing de correo electrónico tinta, que revela instrucciones complejas para correos electrónicos de phishing de recopilación de credenciales. Los correos electrónicos se hicieron pasar por el Departamento de Justicia de los EE. UU. mediante el uso de enlaces maliciosos con logotipos reales que imitaban los sitios web del gobierno.
Una estafa de phishing por correo electrónico que parece ser del Departamento de Justicia de EE. UU.
La recolección de credenciales se considera en gran medida la base del phishing por correo electrónico. Esta es la forma más fácil para cualquiera de acceder a sus archivos seguros. Dave Baggett, CEO y cofundador de INKY, explicó que solo usan la contraseña que les das.
«En términos de tasas generales de phishing, hemos visto un aumento de casi tres veces en los correos electrónicos de phishing desde que comenzó la pandemia», dijo Baggett a TechNewsWorld.
Tabla de Contenidos
Banco de phishing
la semana pasada, armadurabloxLa plataforma de seguridad de la oficina en la nube que protege las comunicaciones corporativas entrantes y salientes ha publicado su último descubrimiento de nuevos intentos de phishing de credenciales. El informe detalla cómo los ciberdelincuentes usan correos electrónicos con enlaces maliciosos a sitios web falsos. La página de destino es muy similar a la página de destino de Bank of America.
Este sitio de phishing de credenciales se parece a la página de inicio de Bank of America. Tenga en cuenta que el comienzo de la URL en el campo de dirección del navegador no está destinado a los bancos. Sin embargo, el nombre del banco se usa en otra parte de la URL en un intento de engañar a los visitantes de la página.
El cofundador y arquitecto de Amorblox, Chetan Anand, informa sobre la última estrategia de recopilación de credenciales de la empresa Blog.
«Los adversarios siempre mezclan y combinan técnicas de phishing existentes y agregan otras nuevas para eludir cualquier medida organizativa para mejorar la seguridad», dijo Anand a TechNewsWorld.
Su informe detalla algunos ejemplos de medidas de seguridad y explica cómo este ataque puede eludirlas. Un ataque de phishing recién descubierto dirigido a las credenciales bancarias de EE. UU. puede eludir cualquier medida de inicio de sesión único (SSO) o autenticación de dos factores (2FA).
En este caso, el atacante también plantea preguntas de desafío de seguridad al objetivo para aumentar la legitimidad del ataque y obtener más información personal. Explicó que para pasar con éxito las verificaciones de autenticación de correo electrónico, los atacantes enviaron correos electrónicos desde dominios conocidos y crearon un dominio de día cero para que el sitio de phishing evadiera la detección de la fuente de la amenaza.
Anand señaló que este nuevo envoltorio de ataque de recolección de credenciales se está volviendo más común en estos días. Este tipo de ataque se dirige a organizaciones de todos los tamaños, especialmente a las pequeñas y medianas empresas (PYMES) que pueden no haber implementado todos los procesos de seguridad.
«Si un atacante obtiene las credenciales de correo electrónico de un empleado de SMB, esa cuenta de correo electrónico puede convertirse en un arma para lanzar ataques dentro de SMB y contra clientes, socios y proveedores», dijo Anand.
mantenlo simple obras estúpidas
Según el informe de Baggett sobre INKY, a diferencia de la mayoría de los demás delincuentes, los ciberdelincuentes involucrados en estafas de adquisición de credenciales llevan vidas delictivas relativamente libres de estrés. BlogSu mayor preocupación es si ingresará o no su contraseña.
Los modernos ataques de phishing de recolección de credenciales son fáciles de implementar. Tiene seis pasos simples, explicó.
Son simples de ejecutar y aún más fáciles de ser víctimas. Aquí está el proceso:
- Los piratas informáticos envían correos electrónicos de phishing.
- Le recomendamos que haga clic en el enlace y realice la tarea.
- Este enlace lo llevará a la página web de PHONY.
- Lo engañan para que ingrese su dirección de correo electrónico y contraseña.
- Hacker recupera su contraseña de su servidor.
- Los piratas informáticos utilizan sus credenciales.
Recuerde, la velocidad a la que hace clic en ese enlace es en lo que confían los ciberdelincuentes.
“El problema fundamental es que las tácticas que usan los phishers ahora se generalizan muy bien. Por ejemplo, los trucos de texto engañosos pueden tomar muchas formas”, explicó Baggett.
por qué funciona
Según Aggett, los atacantes sofisticados saben que las puertas de enlace de correo electrónico seguras o SEG y otros filtros buscan patrones que se sabe que indican fraude. Los atacantes inteligentes lo saben. Ocultan este texto engañoso al SEG y lo hacen de una forma que no interesa al usuario.
Por ejemplo, un SEG podría tener una regla para buscar el texto «Correo de voz de Office 365» porque los correos electrónicos con este texto se han informado como suplantación de identidad. Una táctica de texto engañoso es reemplazar letras en el texto engañoso con otros caracteres Unicode de aspecto similar.
Los expertos en seguridad los llaman «objetos confusos» porque los humanos pueden confundirlos fácilmente. Por ejemplo, un atacante podría reemplazar la letra «O» con cualquiera de los siguientes caracteres Unicode:
Los caracteres que aparecen como cuadros simplemente faltan en su software de fuente. Si bien algunos de ellos se ven exactamente como la letra «O» normal, todos se confunden fácilmente con la letra «O» normal. Baggett señala que los destinatarios pueden pensar que la fuente es un poco graciosa o que la pantalla está sucia.
Para detectar esta táctica, SEG busca no solo «Office 365 Voicemail», sino también todas las posibles variantes que un atacante podría crear utilizando la sustitución de Unicode. Baggett explicó que este es un número muy grande (demasiado para enumerarlo en un conjunto de reglas) y que hay muchos otros trucos generales similares que los atacantes pueden usar.
Varias trampas de llamada a la acción
Los malos actores atraen a los usuarios para que respondan notificándoles sobre nuevos documentos, mensajes de voz, faxes o facturas. Otro método es el phishing de la mesa de ayuda, que les dice a los usuarios que deben confirmar o actualizar su cuenta o se desactivará.
“Con la pandemia de coronavirus, estamos comenzando a ver más y más gobiernos que se hacen pasar por la capacidad de brindar consejos de salud, fondos de ayuda o rastrear nuevos casos en sus áreas”, dijo Baggett.
Según Anand, no existe una panacea que ayude a los departamentos de TI de consumidores y empresas a detectar o detener estas estafas de phishing. Como resultado, las organizaciones necesitan equilibrar varias medidas de seguridad y cambios de procesos para mejorar su postura de respuesta a los ataques de phishing.
Los controles de seguridad locales y de terceros, la concientización de los empleados, la aplicación de políticas como SSO y 2FA, y la rápida respuesta automatizada a incidentes juegan un papel importante en la propagación de ataques de recolección de credenciales.
«En el caso de este ataque de Bank of America, la mayor señal de alerta es la ‘bandera roja contextual’, cuanto más piensa en el correo electrónico, más surge que Bank of America no enviará un correo electrónico a su dirección de trabajo solicitando una actualización Credenciales Pero los empleados ocupados a menudo no tienen el tiempo o la energía para pensar en cada correo electrónico en su bandeja de entrada y terminan haciendo un seguimiento de la acción del correo electrónico”, dijo Anand.
qué otra cosa hacer
Baggett recomienda que los consumidores y la TI empresarial hagan dos cosas para detectar o detener estas estafas de acreditación. Primero, implemente una protección de correo sofisticada basada en software para que las máquinas bloqueen la gran mayoría de estas estafas antes de la entrega y los usuarios nunca interactúen con ellas.
En segundo lugar, capacite a los usuarios para que, en general, sean escépticos con los correos electrónicos. Si bien los humanos no pueden notar la diferencia entre los correos electrónicos reales y los correos electrónicos falsos, sigue siendo una buena idea usar la capacitación de concientización sobre el phishing para enseñar a los usuarios a no confiar en sus ojos cuando se trata de correos electrónicos. Lo que es más importante, verifique siempre cualquier correo electrónico confidencial a través de otro canal de comunicación separado.
«En otras palabras, enséñeles a los usuarios a levantar el teléfono, enviar mensajes de Slack, etc., para verificar que el correo electrónico que están viendo realmente proviene de quien parece ser», dijo Baggett.
Por ejemplo, INKY facilita esta precaución colocando carteles de advertencia amarillos en los correos electrónicos que contienen contenido confidencial, como solicitudes de transferencia bancaria, solicitudes de restablecimiento de contraseña, etc. INKY combate las confusas técnicas de camuflaje de Unicode al presentar el mensaje píxel por píxel para que el software de INKY «vea» el mensaje de la forma en que lo haría un destinatario humano.
Esto permite que INKY coincida con el texto de los correos electrónicos en una aproximación «difusa» o basada en la visión. Por ejemplo, reconoce la forma general de las letras en lugar de identificaciones de letras específicas.
respuesta del cerebro humano
A Anand le gusta usar algunos análisis básicos para detener a los destinatarios de correo electrónico fraudulentos de recolección de credenciales. Él está de acuerdo en que los empleados ocupados no pueden usar las partes racionales y de pensamiento lento de sus cerebros para revisar cada correo electrónico. Pero pueden aprender a desconfiar de las señales verbales, de comportamiento y de identidad en los correos electrónicos que leen.
Por ejemplo, en Identidad, el usuario debe confirmar que el correo electrónico es de la persona u organización de la que dice ser, incluido el dominio, el nombre del remitente, etc. En Comportamiento, el usuario debe preguntarse si el correo electrónico es consistente con el comportamiento exhibido previamente por el remitente del correo electrónico. Pregúntese si Bank of America normalmente envía correos electrónicos a su dirección de trabajo. Cuando se trata de lenguaje, los usuarios deben tener cuidado con cualquier correo electrónico que intente inducir urgencia, miedo y autoridad.
«No es justo poner toda esta responsabilidad en el usuario final. Las organizaciones deberían considerar invertir en controles de seguridad de correo electrónico locales y de terceros que analicen estas señales y más», aconseja Anand.