Cuando el phishing comienza desde dentro

19 octubre, 2017
594 Visualizaciones

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Una preocupación creciente entre los profesionales de seguridad son los ataques de phishing interno -correos electrónicos de phishing enviados por un usuario de confianza a otro de la misma organización-, tal y como informa Trend Micro. Los emails de phishing internos se utilizan en ataques multietapa en los que una cuenta de correo es capturada, ya sea controlando a los usuarios del dispositivo con malware que ha sido instalado previamente, o bien comprometiendo las credenciales de la cuenta del usuario.

Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. Puesto que el remitente es un usuario interno y en el que se confianza, es más probable que el destinatario tome medidas y actúe siguiendo ese mensaje de correo electrónico.

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Campaña de ataque dirigido Eye Pyramid


Los atacantes de Eye Pyramid llevaron a cabo una exitosa campaña de robo de información durante años antes de que, a principios de este año, pudieran ser llevados a los tribunales. Su técnica favorita consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso.

El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.

Phishing interno dirigido a credenciales de Office 365


La popularidad de Microsoft Office 365 lo ha convertido en un blanco atractivo para las campañas de ataque. Existen muchos ejemplos de atacantes que intentan falsificar las credenciales de Office 365 de los usuarios. Una vez que la cuenta de un usuario se compromete, los atacantes pueden iniciar un ataque de Business Email Compromise (BEC) como en los emails incluidos en el ejemplo a continuación que hacen referencia a una estafa de transferencia bancaria.

Ataque destructivo contra el Financial Times

Un ejemplo de un ataque potencialmente destructivo se dio en el Financial Times hace unos años. El atacante (más tarde se supo que era el Ejército Electrónico Sirio) utilizó una cuenta de email comprometida para enviar correos de phishing internos con el fin de robar credenciales de cuentas adicionales. Cuando el departamento de TI conoció la existencia de estos ataques internos de phishing, envió un email de advertencia a todos los usuarios en el que se incluía un enlace para cambiar las contraseñas.

El problema fue que el atacante vio dicho correo del área de TI y cambió el link a su propio website de phishing. Al final, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un «mal menor» y continuaron atacando a otras compañías de medios.

Métodos para detener los ataques internos de suplantación de identidad

Un primer paso para reducir los ataques internos de phishing pasa por implementar sistemas de autenticación multifactorial (MFA) para reducir el riesgo de que un atacante obtenga el control de las credenciales de la cuenta robada. Pero aun teniendo la MFA habilitada, pueden producirse ataques internos de phishing si el dispositivo de un usuario está comprometido con malware.

De lo que muchas personas no se dan cuenta es que las soluciones de seguridad para el gateway, que analizan el tráfico del correo electrónico entrante y saliente de SMTP, no ven el email interno. Para escanear estos correos internos, se puede utilizar una solución basada en un registro diario que se integre con su servicio de correo o servidor de correo. Las mejores herramientas pueden buscar todo tipo de amenazas en el correo electrónico al escanear el contenido del email, archivos adjuntos y URL.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Actualización crítica para una vulnerabilidad de Adobe Flash Player
Actualidad
44 compartido2,037 visualizaciones
Actualidad
44 compartido2,037 visualizaciones

Actualización crítica para una vulnerabilidad de Adobe Flash Player

José Luis - 28 marzo, 2018

Aunque desde Adobe no se le otorga una gran importancia, la vulnerabilidad del Flash se activa sola al entrar en…

¿Vulneración de datos en apps? 3 consejos clave para garantizar un uso seguro
Soluciones Seguridad
19 compartido2,212 visualizaciones
Soluciones Seguridad
19 compartido2,212 visualizaciones

¿Vulneración de datos en apps? 3 consejos clave para garantizar un uso seguro

Mónica Gallego - 25 julio, 2019

El fenómeno FaceApp, la conocida app que ha “envejecido” fotografías de gente de todo el mundo, ha causado un gran…

El cibercrimen se apunta al «hágalo usted mismo»
Actualidad
737 visualizaciones
Actualidad
737 visualizaciones

El cibercrimen se apunta al «hágalo usted mismo»

José Luis - 20 septiembre, 2017

Sophos ha dado a conocer un exhaustivo informe donde se disecciona una de las últimas tendencias en el mundo del…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.