Los phishers en línea van después de las cuentas de administrador de Microsoft Office 365 que usan esta estafa inteligente

Si su organización usa Office 365, probablemente ya haya visto correos electrónicos de phishing dirigidos a su comunidad. Sin embargo, una cosa es cuando los ataques de phishing apuntan a usuarios normales, y es una historia completamente diferente cuando los delincuentes apuntan a la cuenta de administrador de Microsoft Office 365. Después de todo, si una cuenta de administrador se ve comprometida, las repercusiones también podrían llegar a otros usuarios en diferentes niveles.

Utilizaremos esta entrada de blog para brindarle más información sobre el robo de credenciales de Office 365, y luego revisaremos las pautas de protección contra el phishing que ofrece Microsoft. Aunque la configuración recomendada por la compañía es solo el primer paso hacia un entorno virtual seguro, dar ese paso es crucial si desea proteger su sistema.

El ataque de phishing contra las cuentas de administrador de Microsoft Office 365

Los intentos de comprometer las cuentas de Office 365 se llevan a cabo todos los días. Los especialistas en seguridad detectan campañas de phishing más grandes, quienes comparten esta información vital en sus blogs. El ataque de phishing del que queremos hablar fue revelado por primera vez por PhishLabs en noviembre de 2019.

Según el informe, los correos electrónicos maliciosos se entregaron a varias cuentas de administrador de Microsoft Office 365. Estos correos electrónicos se llamaban "señuelos de phishing" porque su intención era atraer a los administradores para que entregaran información confidencial.

Si bien es bastante común que los usuarios habituales se vean engañados para entregar sus credenciales personales, uno esperaría que los administradores del sistema sean mucho más cuidadosos al respecto. Aparentemente, también era lo que pensaban los actores de la amenaza, porque los correos electrónicos de señuelo de phishing se enmascararon como notificaciones oficiales de Microsoft enviadas desde varios dominios validados.

¿Qué es un dominio validado? Bueno, piense en un dominio que no parezca sospechoso en absoluto. Por ejemplo, si recibió un correo electrónico con las iniciales de la universidad en su nombre de dominio, es más probable que confíe en ese correo electrónico, ¿no? Así es exactamente cómo funciona esta estafa: los dominios validados pueden no pertenecer a Microsoft, pero se ven confiables y, por lo tanto, los administradores pueden sentirse atraídos por lamer los enlaces en esos señuelos de phishing.

Sin embargo, en el momento en que hacen clic en el enlace, son redirigidos a una página de inicio de sesión falsa de Office 365. Se parece a la normal, y si el administrador ingresa sus credenciales de inicio de sesión, los delincuentes pueden robarlas y usarlas para acceder al sistema. No hace falta decir que un ataque de phishing a nivel de administrador plantea muchas más preocupaciones de seguridad.

Según el informe de PhishLabs, dependiendo de la configuración de Office 365, la cuenta de administrador comprometida podría permitir que los ciberdelincuentes también se hagan cargo de otras cuentas de correo electrónico dentro del dominio. Sin mencionar que a veces los privilegios de administrador les permiten restablecer contraseñas olvidadas y configurar preferencias de inicio de sesión único. Por lo tanto, si una cuenta de administrador se ve comprometida, todo el sistema podría estar en peligro de robo de datos graves.

Además de robar la información a través de este ataque de phishing, los piratas informáticos podrían crear nuevas cuentas en el dominio comprometido. Además, una vez que los delincuentes tienen un cierto dominio bajo sus dedos, pueden usar los recursos del dominio para enviar más señuelos de phishing a otros sistemas. Por lo tanto, un círculo vicioso de ataques de phishing nunca termina. De hecho, el hecho de que alguien reciba estos señuelos de phishing solo prueba que algunos dominios ya han sido comprometidos. Y esto nos lleva a otro punto.

¿Qué tiene de especial este ataque de phishing?

Como ya hemos mencionado, esta estafa se destaca porque apunta a cuentas de administrador. Sin embargo, hay una cosa más que lo hace extremadamente astuto. Eso sería usar la infraestructura de una organización legítima. El uso de un dominio legítimo permite a estos estafadores evitar los filtros de correo electrónico habituales que redirigen el correo no deseado a la carpeta de correo no deseado. Además, cuando tales mensajes llegan a la bandeja de entrada principal, incluso los administradores tienen más probabilidades de encontrarlos creíbles.

Otro punto interesante es que los administradores de dominios comprometidos que se utilizan para este ataque de phishing no pueden notar la actividad maliciosa. La investigación muestra que los estafadores crean nuevas cuentas en los dominios afectados para enviar spam, por lo que ningún usuario legítimo de la cuenta se da cuenta del correo saliente. No se explotan las cuentas de correo electrónico, sino el dominio en sí.

Cómo evitar ataques de phishing

Los especialistas en seguridad argumentan que todos deberían tener cuidado con tales ataques de phishing porque no parece que una empresa o industria específica esté siendo atacada en este momento. Los administradores solo tienen que tener cuidado con los correos electrónicos que vienen con líneas de asunto como "¡Re: acción requerida!" O "Re: hemos retenido su cuenta".

En lugar de hacer clic en las URL del mensaje, se recomienda a un administrador que se comunique con su departamento de TI de inmediato. Su empresa puede tener varios métodos para contrarrestar tales incidentes de correo electrónico, pero verificar el contenido del correo electrónico siempre es un buen punto de partida.

Microsoft ofrece estas pautas que deberían ayudarlo a mejorar la protección de Office 365 contra ataques de phishing.

Cómo mejorar la protección de Office 365

  1. Acceda al centro de administración y seleccione Seguridad .
  2. Vaya a Administración de amenazas , elija Política y vaya a ATP Anti-phishing .
  3. Elija la Política predeterminada y seleccione Editar en la sección Suplantación .
  4. Abra Agregar dominios para proteger y seleccione incluir automáticamente sus dominios.
  5. Abrir Acción , haga clic en el menú desplegable Si un usuario suplantado envía un correo electrónico .
  6. Seleccione la acción que desea y elija Activar consejos de seguridad de suplantación.
  7. Elija los consejos que desee y haga clic en Guardar .
  8. Vaya a Inteligencia del buzón y asegúrese de que esté activado .
  9. Seleccione Agregar remitentes y dominios confiables para agregar dominios confiables y direcciones de correo electrónico.
  10. Vaya a Revisar su configuración y haga clic en Guardar .
  11. Presione Cerrar y salga del menú.

Además de emplear las medidas de seguridad más básicas, siempre es muy recomendable recordar constantemente a los usuarios habituales los peligros de los ataques de phishing. A veces, un problema grave puede comenzar con un correo electrónico de phishing perdido con el que un usuario distraído interactúa sin pensarlo dos veces.

Los administradores deben considerar educar a los usuarios sobre la importancia de las contraseñas seguras y la autenticación multifactor. Los administradores de contraseñas también son muy recomendables, y si desea saber cómo funciona, puede verlo usted mismo haciendo clic en el botón naranja GRATIS de 30 días de prueba a la derecha.

February 6, 2020

Deja una respuesta