Cuando el phishing comienza desde dentro

19 octubre, 2017
474 Visualizaciones

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Una preocupación creciente entre los profesionales de seguridad son los ataques de phishing interno -correos electrónicos de phishing enviados por un usuario de confianza a otro de la misma organización-, tal y como informa Trend Micro. Los emails de phishing internos se utilizan en ataques multietapa en los que una cuenta de correo es capturada, ya sea controlando a los usuarios del dispositivo con malware que ha sido instalado previamente, o bien comprometiendo las credenciales de la cuenta del usuario.

Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. Puesto que el remitente es un usuario interno y en el que se confianza, es más probable que el destinatario tome medidas y actúe siguiendo ese mensaje de correo electrónico.

Trend Micro ofrece varios ejemplos que permiten ilustrar qué son estos ataques y cómo actúan, además de información y consejos para detener los ataques internos de phishing.

Campaña de ataque dirigido Eye Pyramid


Los atacantes de Eye Pyramid llevaron a cabo una exitosa campaña de robo de información durante años antes de que, a principios de este año, pudieran ser llevados a los tribunales. Su técnica favorita consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso.

El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.

Phishing interno dirigido a credenciales de Office 365


La popularidad de Microsoft Office 365 lo ha convertido en un blanco atractivo para las campañas de ataque. Existen muchos ejemplos de atacantes que intentan falsificar las credenciales de Office 365 de los usuarios. Una vez que la cuenta de un usuario se compromete, los atacantes pueden iniciar un ataque de Business Email Compromise (BEC) como en los emails incluidos en el ejemplo a continuación que hacen referencia a una estafa de transferencia bancaria.

Ataque destructivo contra el Financial Times

Un ejemplo de un ataque potencialmente destructivo se dio en el Financial Times hace unos años. El atacante (más tarde se supo que era el Ejército Electrónico Sirio) utilizó una cuenta de email comprometida para enviar correos de phishing internos con el fin de robar credenciales de cuentas adicionales. Cuando el departamento de TI conoció la existencia de estos ataques internos de phishing, envió un email de advertencia a todos los usuarios en el que se incluía un enlace para cambiar las contraseñas.

El problema fue que el atacante vio dicho correo del área de TI y cambió el link a su propio website de phishing. Al final, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un «mal menor» y continuaron atacando a otras compañías de medios.

Métodos para detener los ataques internos de suplantación de identidad

Un primer paso para reducir los ataques internos de phishing pasa por implementar sistemas de autenticación multifactorial (MFA) para reducir el riesgo de que un atacante obtenga el control de las credenciales de la cuenta robada. Pero aun teniendo la MFA habilitada, pueden producirse ataques internos de phishing si el dispositivo de un usuario está comprometido con malware.

De lo que muchas personas no se dan cuenta es que las soluciones de seguridad para el gateway, que analizan el tráfico del correo electrónico entrante y saliente de SMTP, no ven el email interno. Para escanear estos correos internos, se puede utilizar una solución basada en un registro diario que se integre con su servicio de correo o servidor de correo. Las mejores herramientas pueden buscar todo tipo de amenazas en el correo electrónico al escanear el contenido del email, archivos adjuntos y URL.

Te podría interesar

Reservation Hub, una solución para proteger los pagos en las reservas de hotel online
Actualidad
8 compartido1,036 visualizaciones
Actualidad
8 compartido1,036 visualizaciones

Reservation Hub, una solución para proteger los pagos en las reservas de hotel online

Vicente Ramírez - 4 marzo, 2019

  Según Ingenico Group, para que un alojamiento cumpla los estándares de seguridad de los principales emisores de tarjetas, se…

Crece el interés de los criminales por los ataques de bajo perfil
Actualidad
19 compartido2,289 visualizaciones
Actualidad
19 compartido2,289 visualizaciones

Crece el interés de los criminales por los ataques de bajo perfil

Mónica Gallego - 10 septiembre, 2018

El resumen de seguridad del primer semestre del año combina los extensos datos de Trend Micro para ofrecer a los…

Abierto el plazo de presentación de propuestas para las XIII Jornadas STIC CCN-CERT
Sin categoría
29 compartido1,113 visualizaciones
Sin categoría
29 compartido1,113 visualizaciones

Abierto el plazo de presentación de propuestas para las XIII Jornadas STIC CCN-CERT

Vicente Ramírez - 10 julio, 2019

Los interesados en participar en el CFP tienen hasta el 7 de octubre para remitir su propuesta. En su decimotercera…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.