Cuando el phishing comienza desde dentro

19 octubre, 2017
864 Visualizaciones

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Una preocupación creciente entre los profesionales de seguridad son los ataques de phishing interno -correos electrónicos de phishing enviados por un usuario de confianza a otro de la misma organización-, tal y como informa Trend Micro. Los emails de phishing internos se utilizan en ataques multietapa en los que una cuenta de correo es capturada, ya sea controlando a los usuarios del dispositivo con malware que ha sido instalado previamente, o bien comprometiendo las credenciales de la cuenta del usuario.

Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. Puesto que el remitente es un usuario interno y en el que se confianza, es más probable que el destinatario tome medidas y actúe siguiendo ese mensaje de correo electrónico.

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Campaña de ataque dirigido Eye Pyramid


Los atacantes de Eye Pyramid llevaron a cabo una exitosa campaña de robo de información durante años antes de que, a principios de este año, pudieran ser llevados a los tribunales. Su técnica favorita consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso.

El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.

Phishing interno dirigido a credenciales de Office 365


La popularidad de Microsoft Office 365 lo ha convertido en un blanco atractivo para las campañas de ataque. Existen muchos ejemplos de atacantes que intentan falsificar las credenciales de Office 365 de los usuarios. Una vez que la cuenta de un usuario se compromete, los atacantes pueden iniciar un ataque de Business Email Compromise (BEC) como en los emails incluidos en el ejemplo a continuación que hacen referencia a una estafa de transferencia bancaria.

Ataque destructivo contra el Financial Times

Un ejemplo de un ataque potencialmente destructivo se dio en el Financial Times hace unos años. El atacante (más tarde se supo que era el Ejército Electrónico Sirio) utilizó una cuenta de email comprometida para enviar correos de phishing internos con el fin de robar credenciales de cuentas adicionales. Cuando el departamento de TI conoció la existencia de estos ataques internos de phishing, envió un email de advertencia a todos los usuarios en el que se incluía un enlace para cambiar las contraseñas.

El problema fue que el atacante vio dicho correo del área de TI y cambió el link a su propio website de phishing. Al final, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un «mal menor» y continuaron atacando a otras compañías de medios.

Métodos para detener los ataques internos de suplantación de identidad

Un primer paso para reducir los ataques internos de phishing pasa por implementar sistemas de autenticación multifactorial (MFA) para reducir el riesgo de que un atacante obtenga el control de las credenciales de la cuenta robada. Pero aun teniendo la MFA habilitada, pueden producirse ataques internos de phishing si el dispositivo de un usuario está comprometido con malware.

De lo que muchas personas no se dan cuenta es que las soluciones de seguridad para el gateway, que analizan el tráfico del correo electrónico entrante y saliente de SMTP, no ven el email interno. Para escanear estos correos internos, se puede utilizar una solución basada en un registro diario que se integre con su servicio de correo o servidor de correo. Las mejores herramientas pueden buscar todo tipo de amenazas en el correo electrónico al escanear el contenido del email, archivos adjuntos y URL.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Publicada en el BOE la Estrategia de Ciberseguridad Nacional
Actualidad
27 compartido1,851 visualizaciones
Actualidad
27 compartido1,851 visualizaciones

Publicada en el BOE la Estrategia de Ciberseguridad Nacional

Vicente Ramírez - 6 mayo, 2019

Establece la posición de España ante una nueva concepción de la ciberseguridad en el marco de la Política de Seguridad…

Trend Micro lidera la industria de seguridad para la nube híbrida por cuota de mercado
Actualidad
18 compartido1,478 visualizaciones
Actualidad
18 compartido1,478 visualizaciones

Trend Micro lidera la industria de seguridad para la nube híbrida por cuota de mercado

Vicente Ramírez - 3 diciembre, 2019

Ocupa el primer puesto del ranking de 2018 por cuota de mercado para Seguridad para Carga de Trabajo SDC, según…

90 minutos para hacerse con el sistema electoral de EE.UU
Actualidad
748 visualizaciones
Actualidad
748 visualizaciones

90 minutos para hacerse con el sistema electoral de EE.UU

Redacción - 4 agosto, 2017

90 minutos fue el tiempo que emplearon los hackers asistentes a la conferencia anual de seguridad y hacking, Defcon, en sortear…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.