«

»

Oct 07

Artículo: Cuando el phishing comienza desde el interior –

Por si no teníamos suficiente…. Artículo publicado por nuestros compañeros de de trend Micro. 

http://blog.trendmicro.com/phishing-starts-inside/

Traducción Google:

Una preocupación creciente de los profesionales de la seguridad son los ataques de phishing internos : correos electrónicos de phishing enviados desde un usuario de confianza a otro de la misma organización. Los correos electrónicos de phishing internos se utilizan en ataques en varias etapas en los que una cuenta de correo electrónico es propiedad controlando el dispositivo de usuarios con software malicioso previamente instalado o comprometiendo las credenciales de cuenta del usuario. Los correos electrónicos de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsión, y común con los esquemas de Compromiso de correo electrónico empresarial (BEC) diseñados para robar dinero. Dado que el remitente es un usuario interno y de confianza, es más probable que el destinatario tome medidas en el correo electrónico.

Ejemplo: Pirámide ocular Campaña de ataque dirigido

Los atacantes de Pyramid ocultaron una campaña exitosa de robo de información durante años antes de ser llevados a juicio a principios de este año. Su técnica favorita era saltar de un usuario a otro usando correos electrónicos de phishing con un archivo adjunto malicioso. El archivo adjunto contenía malware que recolectaba y exfiltraba información, incluyendo direcciones de correo electrónico que se usaban para los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de correo electrónico, tuvieron las marcas de un ataque patrocinado por el Estado, pero sorprendentemente fue llevado a cabo por un ingeniero nuclear italiano y su hermana que trataron de beneficiarse de la información.

 

Método de ataque de la pirámide ocular  

 

Ejemplo: Internal Office 365 Credential Phishing

La popularidad de Microsoft Office 365 la ha convertido en un objetivo atractivo para las campañas de ataque. Hemos visto muchos ejemplos de atacantes que intentan registrar las credenciales de Office 365 de los usuarios de phish. Una vez que la cuenta de un usuario se ve comprometida, los atacantes pueden iniciar un ataque de Compromiso de correo electrónico de empresa como en los correos electrónicos de muestra que aparecen a continuación de una estafa de transferencia bancaria.

Ejemplo de un ataque de phishing de credencial de Office 365 que provocó una estafa de transferencia bancaria BEC de una cuenta comprometida. 

 

Ejemplo: Financial Times Destructive Attack

Un ejemplo de un ataque potencialmente destructivo ocurrió en el Financial Timeshace unos años. El atacante (más tarde aprendió a ser el Ejército Electrónico Sirio) usó una cuenta de correo electrónico comprometida para enviar correos electrónicos de phishing internos para robar credenciales de cuenta adicionales. Cuando se enteró de los ataques de phishing internos, enviaron un correo electrónico de advertencia a todos los usuarios con un enlace para cambiar sus contraseñas. El problema era que el atacante vio el correo electrónico de IT y lo resentía, pero cambió el enlace a su propio sitio web de phishing. En última instancia, los atacantes tenían acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un “menor de males” y continuaron su ataque contra otras compañías de medios.

Métodos para detener ataques de phishing internos:

Un primer paso para reducir los ataques de phishing internos es implementar la autenticación de múltiples factores (MFA) para reducir el riesgo de que un atacante gane el control de credenciales de cuenta robadas. Pero incluso con MFA habilitado, pueden ocurrir ataques de phishing internos si el dispositivo de un usuario está comprometido con malware. Lo que mucha gente no se da cuenta es que las soluciones de seguridad de gateway de correo electrónico, que exploran el tráfico de correo electrónico SMTP entrante y saliente, no ven correo electrónico interno. Para analizar el correo electrónico interno, puede utilizar una solución o una solución basada en diario que se integre con su servicio de correo o servidor de correo. Las mejores soluciones pueden buscar todos los tipos de amenazas de correo electrónico al escanear contenido de correo electrónico, archivos adjuntos y URL.

Soluciones basadas en el diario

El primer método consiste en utilizar la función de registro diario de sus sistemas de correo electrónico para enviar una copia de cada correo electrónico interno enviado a un servicio de seguridad para realizar análisis sin conexión. Este método es bueno para detectar ataques, pero no para los ataques. Algunos servicios de seguridad basados ​​en diario pueden utilizar las herramientas de Exchange para eliminar un correo electrónico después del análisis. Sin embargo, durante el análisis, que podría ser de 5 minutos si se necesita sandboxing, el usuario todavía tiene acceso al correo electrónico y los archivos adjuntos. Y si el archivo adjunto era ransomware, como Teslacript que cifra 10.000 archivos en 40 segundos , el análisis podría ser demasiado tarde.

Soluciones integradas de servicio

Las soluciones de Service Integrated solucionan el problema del acceso de los usuarios durante el análisis integrándose directamente con el sistema de correo mediante una API. El API alerta a la solución de seguridad de que ha llegado un correo electrónico y puede ocultar el correo electrónico de los usuarios hasta que se complete el análisis. Las integraciones de servicio en las instalaciones están disponibles como software para los servidores de Microsoft Exchange e IBM Domino. Las soluciones basadas en API también están disponibles para sistemas de correo electrónico en nube, como Microsoft Office 365, si el proveedor hace que la API esté disponible para las soluciones de seguridad. 

Soluciones Trend Micro

Trend Micro se ha protegido contra las amenazas internas de correo electrónico desde 1997 y seguimos ofreciendo nuevas mejoras tecnológicas. Buscamos malware, direcciones URL maliciosas y nuestra nueva tecnología anti-BEC XGen® también puede buscar correos electrónicos fraudulentos internos. ScanMail está disponible para proteger los servidores de correo electrónico de Microsoft Exchange e IBM Domino en las instalaciones. Office 365 está protegido por nuestra solución basada en API, Cloud App Security , que ha detectado 6 millones de amenazas de alto riesgo durante los últimos 2 años que se deslizaron por la seguridad nativa de Office 365. Cloud App Security está disponible por sí mismo o junto con la protección de puerta de enlace de pre-entrega en Smart Protection para Office 365 .

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático y Perito Judicial Informático Forense inscrito con el nº 382 a la ANTPJI. Miembro de la Asociación STOP! Violencia de Género Digital. **Profesional del campo de la Informática desde el año 1990, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............