Los phishers en línea van después de las cuentas de administrador de Microsoft Office 365 que usan esta estafa inteligente

Si su organización usa Office 365, probablemente ya haya visto correos electrónicos de phishing dirigidos a su comunidad. Sin embargo, una cosa es cuando los ataques de phishing apuntan a usuarios normales, y es una historia completamente diferente cuando los delincuentes apuntan a la cuenta de administrador de Microsoft Office 365. Después de todo, si una cuenta de administrador se ve comprometida, las repercusiones también podrían llegar a otros usuarios en diferentes niveles.

Utilizaremos esta entrada de blog para brindarle más información sobre el robo de credenciales de Office 365, y luego revisaremos las pautas de protección contra el phishing que ofrece Microsoft. Aunque la configuración recomendada por la compañía es solo el primer paso hacia un entorno virtual seguro, dar ese paso es crucial si desea proteger su sistema.

El ataque de phishing contra las cuentas de administrador de Microsoft Office 365

Los intentos de comprometer las cuentas de Office 365 se llevan a cabo todos los días. Los especialistas en seguridad detectan campañas de phishing más grandes, quienes comparten esta información vital en sus blogs. El ataque de phishing del que queremos hablar fue revelado por primera vez por PhishLabs en noviembre de 2019.

Según el informe, los correos electrónicos maliciosos se entregaron a varias cuentas de administrador de Microsoft Office 365. Estos correos electrónicos se llamaban "señuelos de phishing" porque su intención era atraer a los administradores para que entregaran información confidencial.

Si bien es bastante común que los usuarios habituales se vean engañados para entregar sus credenciales personales, uno esperaría que los administradores del sistema sean mucho más cuidadosos al respecto. Aparentemente, también era lo que pensaban los actores de la amenaza, porque los correos electrónicos de señuelo de phishing se enmascararon como notificaciones oficiales de Microsoft enviadas desde varios dominios validados.

¿Qué es un dominio validado? Bueno, piense en un dominio que no parezca sospechoso en absoluto. Por ejemplo, si recibió un correo electrónico con las iniciales de la universidad en su nombre de dominio, es más probable que confíe en ese correo electrónico, ¿no? Así es exactamente cómo funciona esta estafa: los dominios validados pueden no pertenecer a Microsoft, pero se ven confiables y, por lo tanto, los administradores pueden sentirse atraídos por lamer los enlaces en esos señuelos de phishing.

Sin embargo, en el momento en que hacen clic en el enlace, son redirigidos a una página de inicio de sesión falsa de Office 365. Se parece a la normal, y si el administrador ingresa sus credenciales de inicio de sesión, los delincuentes pueden robarlas y usarlas para acceder al sistema. No hace falta decir que un ataque de phishing a nivel de administrador plantea muchas más preocupaciones de seguridad.

Según el informe de PhishLabs, dependiendo de la configuración de Office 365, la cuenta de administrador comprometida podría permitir que los ciberdelincuentes también se hagan cargo de otras cuentas de correo electrónico dentro del dominio. Sin mencionar que a veces los privilegios de administrador les permiten restablecer contraseñas olvidadas y configurar preferencias de inicio de sesión único. Por lo tanto, si una cuenta de administrador se ve comprometida, todo el sistema podría estar en peligro de robo de datos graves.

Además de robar la información a través de este ataque de phishing, los piratas informáticos podrían crear nuevas cuentas en el dominio comprometido. Además, una vez que los delincuentes tienen un cierto dominio bajo sus dedos, pueden usar los recursos del dominio para enviar más señuelos de phishing a otros sistemas. Por lo tanto, un círculo vicioso de ataques de phishing nunca termina. De hecho, el hecho de que alguien reciba estos señuelos de phishing solo prueba que algunos dominios ya han sido comprometidos. Y esto nos lleva a otro punto.

¿Qué tiene de especial este ataque de phishing?

Como ya hemos mencionado, esta estafa se destaca porque apunta a cuentas de administrador. Sin embargo, hay una cosa más que lo hace extremadamente astuto. Eso sería usar la infraestructura de una organización legítima. El uso de un dominio legítimo permite a estos estafadores evitar los filtros de correo electrónico habituales que redirigen el correo no deseado a la carpeta de correo no deseado. Además, cuando tales mensajes llegan a la bandeja de entrada principal, incluso los administradores tienen más probabilidades de encontrarlos creíbles.

Otro punto interesante es que los administradores de dominios comprometidos que se utilizan para este ataque de phishing no pueden notar la actividad maliciosa. La investigación muestra que los estafadores crean nuevas cuentas en los dominios afectados para enviar spam, por lo que ningún usuario legítimo de la cuenta se da cuenta del correo saliente. No se explotan las cuentas de correo electrónico, sino el dominio en sí.

Cómo evitar ataques de phishing

Los especialistas en seguridad argumentan que todos deberían tener cuidado con tales ataques de phishing porque no parece que una empresa o industria específica esté siendo atacada en este momento. Los administradores solo tienen que tener cuidado con los correos electrónicos que vienen con líneas de asunto como "¡Re: acción requerida!" O "Re: hemos retenido su cuenta".

En lugar de hacer clic en las URL del mensaje, se recomienda a un administrador que se comunique con su departamento de TI de inmediato. Su empresa puede tener varios métodos para contrarrestar tales incidentes de correo electrónico, pero verificar el contenido del correo electrónico siempre es un buen punto de partida.

Microsoft ofrece estas pautas que deberían ayudarlo a mejorar la protección de Office 365 contra ataques de phishing.

Cómo mejorar la protección de Office 365

  1. Acceda al centro de administración y seleccione Seguridad .
  2. Vaya a Administración de amenazas , elija Política y vaya a ATP Anti-phishing .
  3. Elija la Política predeterminada y seleccione Editar en la sección Suplantación .
  4. Abra Agregar dominios para proteger y seleccione incluir automáticamente sus dominios.
  5. Abrir Acción , haga clic en el menú desplegable Si un usuario suplantado envía un correo electrónico .
  6. Seleccione la acción que desea y elija Activar consejos de seguridad de suplantación.
  7. Elija los consejos que desee y haga clic en Guardar .
  8. Vaya a Inteligencia del buzón y asegúrese de que esté activado .
  9. Seleccione Agregar remitentes y dominios confiables para agregar dominios confiables y direcciones de correo electrónico.
  10. Vaya a Revisar su configuración y haga clic en Guardar .
  11. Presione Cerrar y salga del menú.

Además de emplear las medidas de seguridad más básicas, siempre es muy recomendable recordar constantemente a los usuarios habituales los peligros de los ataques de phishing. A veces, un problema grave puede comenzar con un correo electrónico de phishing perdido con el que un usuario distraído interactúa sin pensarlo dos veces.

Los administradores deben considerar educar a los usuarios sobre la importancia de las contraseñas seguras y la autenticación multifactor. Los administradores de contraseñas también son muy recomendables, y si desea saber cómo funciona, puede verlo usted mismo haciendo clic en el botón naranja GRATIS de 30 días de prueba a la derecha.

En Foley
February 6, 2020
Computer Security
Spanish
February 6, 2020
Computer Security

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.