Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Una preocupación creciente entre los profesionales de seguridad son los ataques de phishing interno -correos electrónicos de phishing enviados por un usuario de confianza a otro de la misma organización-, tal y como informa Trend Micro. Los emails de phishing internos se utilizan en ataques multietapa en los que una cuenta de correo es capturada, ya sea controlando a los usuarios del dispositivo con malware que ha sido instalado previamente, o bien comprometiendo las credenciales de la cuenta del usuario.

Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. Puesto que el remitente es un usuario interno y en el que se confianza, es más probable que el destinatario tome medidas y actúe siguiendo ese mensaje de correo electrónico.

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Campaña de ataque dirigido Eye Pyramid


Los atacantes de Eye Pyramid llevaron a cabo una exitosa campaña de robo de información durante años antes de que, a principios de este año, pudieran ser llevados a los tribunales. Su técnica favorita consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso.

El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.

Phishing interno dirigido a credenciales de Office 365


La popularidad de Microsoft Office 365 lo ha convertido en un blanco atractivo para las campañas de ataque. Existen muchos ejemplos de atacantes que intentan falsificar las credenciales de Office 365 de los usuarios. Una vez que la cuenta de un usuario se compromete, los atacantes pueden iniciar un ataque de Business Email Compromise (BEC) como en los emails incluidos en el ejemplo a continuación que hacen referencia a una estafa de transferencia bancaria.

Ataque destructivo contra el Financial Times

Un ejemplo de un ataque potencialmente destructivo se dio en el Financial Times hace unos años. El atacante (más tarde se supo que era el Ejército Electrónico Sirio) utilizó una cuenta de email comprometida para enviar correos de phishing internos con el fin de robar credenciales de cuentas adicionales. Cuando el departamento de TI conoció la existencia de estos ataques internos de phishing, envió un email de advertencia a todos los usuarios en el que se incluía un enlace para cambiar las contraseñas.

El problema fue que el atacante vio dicho correo del área de TI y cambió el link a su propio website de phishing. Al final, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un «mal menor» y continuaron atacando a otras compañías de medios.

Métodos para detener los ataques internos de suplantación de identidad

Un primer paso para reducir los ataques internos de phishing pasa por implementar sistemas de autenticación multifactorial (MFA) para reducir el riesgo de que un atacante obtenga el control de las credenciales de la cuenta robada. Pero aun teniendo la MFA habilitada, pueden producirse ataques internos de phishing si el dispositivo de un usuario está comprometido con malware.

De lo que muchas personas no se dan cuenta es que las soluciones de seguridad para el gateway, que analizan el tráfico del correo electrónico entrante y saliente de SMTP, no ven el email interno. Para escanear estos correos internos, se puede utilizar una solución basada en un registro diario que se integre con su servicio de correo o servidor de correo. Las mejores herramientas pueden buscar todo tipo de amenazas en el correo electrónico al escanear el contenido del email, archivos adjuntos y URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio