Los expertos en ciberseguridad se han enfrentado a un esquema de phishing "revolucionario"

Un ciberataque reciente se denominó "revolucionario", una redacción que obviamente no se ve todos los días. Sin embargo, ¿qué hace que ese ataque de phishing en particular sea tan impresionante?

El ataque fue detallado y analizado por el investigador de seguridad Craig Hays en un artículo de Medium. Todo comenzó con las habituales alertas de ataques de phishing que las empresas de seguridad reciben de los clientes. Sin embargo, a medida que avanzaba la investigación inicial, minutos después del primer informe, empezaron a parpadear más luces rojas a medida que aparecía un número cada vez mayor de cuentas de correo electrónico de la misma organización que habían sido comprometidas.

Las cuentas de correo electrónico pirateadas enviaban cantidades inusualmente grandes de correo saliente, lo que activaba los mecanismos de advertencia. Se accedía a ellos desde ubicaciones inusuales en todo el mundo y estaban enviando muchos más correos electrónicos de lo habitual. Sin embargo, el problema con el que se encontró el equipo de seguridad fue que no había una indicación clara del vector de ataque inicial; no había ninguna de las señales de advertencia habituales que indican un intento de phishing exitoso; no hay correo entrante de direcciones desconocidas, nada.

El peligro de la familiaridad

Resultó que los correos electrónicos de phishing no se originaron en direcciones sospechosas o desconocidas. Se enviaron como mensajes de respuesta a correos electrónicos genuinos y legítimos. El simple hecho de que los enlaces de phishing maliciosos se escondían en el correo recibido de lo que parecían fuentes conocidas.

El mecanismo detrás del ataque involucró a un robot sofisticado. Una vez que le robaron las credenciales de un correo electrónico en la red atacada, el bot recibió la información de inicio de sesión, inició sesión en la cuenta comprometida y comenzó a examinar el correo entrante que llegó en los últimos días. Cada cadena de correo electrónico única descubierta de esta manera recibió una respuesta del bot con un mensaje que contenía los enlaces al portal de phishing creado por los delincuentes. En particular, los delincuentes habían creado una redacción lo suficientemente genérica como para que hacer clic en el documento falso adjunto nunca parecía demasiado extraño o fuera de lugar.

Esto significa que el mensaje de phishing enviado por el bot conservó la dirección, la línea de asunto original de la cadena de conversación, así como todas las comunicaciones anteriores, lo que la hace increíblemente creíble y confiable en la superficie, mucho más que cualquier intento de phishing enviado por una dirección desconocida. que activa inmediatamente las luces de advertencia incluso para los usuarios sin experiencia.

Un malware de phishing similar a un gusano

El hecho de que el bot actuara como un gusano, propagándose a través de las redes de correo electrónico de la empresa al escanear las bandejas de entrada y enviar su cebo de phishing creíble es significativo. Este modo de propagación hizo que la amenaza fuera particularmente difícil de enfrentar. Finalmente, se descubrió un patrón en las URL maliciosas y agregarlo a un filtro automático permitió frenar y detener la propagación del bot de phishing similar a un gusano.

Otro hecho importante que destaca el informe es que el bot estaba demasiado ansioso por su propio bien. Si no hubiera habido volúmenes tan inusualmente grandes de correo saliente para activar las alarmas, el bot podría haber pasado desapercibido durante mucho más tiempo y haber causado mucho más daño.

La conclusión vital final de este incidente fue que la autenticación de múltiples factores debe usarse siempre que esté disponible y también debe estar disponible lo antes posible donde no sea ya una opción.

October 2, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.