Estafadores de correo electrónico que usan viejos trucos con nuevos giros

 las estafas de phishing por correo electrónico están en aumento

Con gran parte de la fuerza laboral de la oficina haciendo negocios desde casa para escapar de la pandemia, los estafadores han acelerado sus trucos para asustarlos y caer en sus esquemas de cosecha de credenciales.

Dos nuevos los informes ponen al descubierto los nuevos giros que los estafadores digitales están aplicando a los viejos enfoques para que renuncies involuntariamente a tus credenciales de inicio de sesión para los portales de servidores y banca en línea personales o de tu empresa. Los dos informes se centran en cómo evitar convertirse en una víctima corporativa o del consumidor.

Un nuevo giro detallado por Armorblox amenaza con reciclar las direcciones inactivas a menos que las posibles víctimas actualicen y confirmen de inmediato los detalles de su cuenta. Esto da como resultado que los destinatarios temerosos ingresen sus direcciones de correo electrónico legítimas y la información de contraseña.

El segundo informe, enviado por la firma de protección contra phishing INKY, revela las intrincadas directivas de un correo electrónico de phishing de recolección de credenciales. Estos correos electrónicos se hacen pasar por el Departamento de Justicia de los Estados Unidos mediante el uso de un enlace malicioso con logotipos reales que imitan sitios web del gobierno.

 correo electrónico de phishing que pretende ser el Departamento de Justicia

Una estafa de correo electrónico de phishing que da la apariencia de que el remitente es el Departamento de Justicia de los EE. UU.

La recolección de credenciales se considera en gran medida la base del phishing por correo electrónico. Es la forma más fácil para que cualquiera pueda acceder a sus archivos seguros. Simplemente usan la contraseña que usted les dio, explicó Dave Baggett, CEO y cofundador de INKY.

"En términos de la tasa general de phishing en general, hemos visto un aumento de casi tres veces en los correos electrónicos de phishing desde que comenzó la pandemia", dijo Baggett a TechNewsWorld.

Banca en phishing

La semana pasada, Armorblox, una plataforma de seguridad de oficina en la nube que protege las comunicaciones empresariales entrantes y salientes, lanzó su último descubrimiento de un nuevo intento de phishing de credenciales. El informe detalla cómo los ciberdelincuentes usan un correo electrónico con un enlace malicioso que conduce a un sitio web falso. La página de inicio se parece minuciosamente a la página de inicio de sesión del Banco de América.

 sitio de credencial de phishing creado para parecerse a la página de inicio de Bank of America

Este sitio de credencial de phishing se parece a la página de inicio de Bank of America. Tenga en cuenta que el comienzo de la URL en el campo de dirección del navegador no es para el banco. Sin embargo, el nombre del banco se usa en otra parte de la URL para tratar de engañar a los visitantes de la página.

El cofundador y arquitecto de Amorblox, Chetan Anand, informó sobre la última estrategia de recolección de credenciales en el blog de la compañía .

"Los adversarios siempre mezclan y combinan trucos de phishing existentes, además de agregar algunos nuevos, para eludir cualquier medida organizativa que aumente la seguridad", dijo Anand a TechNewsWorld.

Su informe detalla algunos ejemplos de medidas de seguridad y explica cómo este ataque los esquiva. El ataque recientemente descubierto supuso que las credenciales del Bank of America eludieran cualquier medida de inicio de sesión único (SSO) o autenticación de dos factores (2FA) vigente.

En este caso, los atacantes también hicieron preguntas a los objetivos de seguridad para aumentar la legitimidad del ataque y obtener aún más información personal. Para pasar con éxito las comprobaciones de autenticación de correo electrónico, los atacantes enviaron el correo electrónico desde un dominio de renombre y crearon un dominio de día cero para que el sitio de suplantación de identidad escapara de la detección por las fuentes de amenazas, explicó.

Este nuevo paquete de ataques de recolección de credenciales es cada vez más frecuente hoy, señaló Anand. Este tipo de ataque está dirigido a organizaciones de todos los tamaños, pero especialmente a las pequeñas y medianas empresas (SMB) que pueden no tener todos sus procesos de seguridad implementados todavía.

"Si un atacante obtiene las credenciales de correo electrónico de un empleado desde una SMB, esta cuenta de correo electrónico se arma para lanzar ataques tanto dentro de la SMB como contra clientes, socios y proveedores ", dijo Anand.

Keep-It-Simple-Stupid Works

A diferencia de la mayoría de los otros delincuentes, los ciberdelincuentes que persiguen estafas de recolección de credenciales llevan una vida delictiva relativamente libre de estrés, según el informe de Baggett en el blog INKY . Su mayor preocupación es si escribirá o no su contraseña.

El ataque de phishing de recolección de credenciales moderno es fácil de llevar a cabo. Tiene seis pasos simples, explicó.

Son simples de llevar a cabo y aún más fáciles de ser víctimas. Este es el proceso:

  1. El hacker envía un correo electrónico de phishing.
  2. Se le recomienda que haga clic en un enlace y realice una tarea.
  3. El enlace lo lleva a una página web de PHONY.
  4. Usted es engañado para que ingrese su dirección de correo electrónico y contraseña.
  5. El hacker recupera su contraseña de su servidor.
  6. El hacker explota sus credenciales cosechadas.

Recuerda, tu velocidad al hacer clic en ese enlace es con lo que cuenta el cibercriminal.

"El problema fundamental es que las tácticas que los phishers ahora usan generalizan muy bien. Los trucos de texto engañosos, por ejemplo, pueden tomar muchas formas ", explicó Baggett.

Por qué funciona

Los atacantes sofisticados saben que Secure Email Gateways, o SEG, y otros filtros buscan patrones indicativos de estafa conocidos, según Aggett. El atacante inteligente lo sabe. Ocultan este texto engañoso del SEG y lo hacen de una manera que no parece graciosa para el usuario.

Por ejemplo, un SEG puede tener una regla en la que busca el texto "Correo de voz de Office 365" porque envía correos electrónicos con este el texto ha sido reportado como phishing. Una táctica de texto engañoso es reemplazar las letras en texto indicativo de estafa con otros caracteres Unicode que se parecen.

Los expertos en seguridad los llaman "confusables" porque los humanos los confunden fácilmente. El atacante puede, por ejemplo, reemplazar la letra "O" con cualquiera de estos caracteres Unicode:

 Caracteres Unicode utilizados en estafas de phishing

Faltan los caracteres que aparecen como un cuadro Su software de fuente. Si bien pocos de estos se ven exactamente como una letra normal "O", todos se pueden confundir fácilmente con una letra normal "O". El destinatario podría pensar que la fuente es un poco divertida o que hay suciedad en la pantalla, señaló Baggett.

Para detectar esta táctica, la SEG tiene que buscar no solo el "Correo de voz de Office 365", sino todas las posibles variantes que un atacante podría crear usando sustituciones Unicode. Ese es un número increíblemente grande, demasiados para enumerarlos en un conjunto de reglas, y hay muchos otros trucos generales similares que los atacantes también pueden usar, explicó Baggett.

Diversas trampas de llamado a la acción

Los actores malos atraen a los usuarios para que respondan notificándoles un nuevo documento, correo de voz, fax o factura. Otro enfoque son los phishing de Helpdesk que le dicen a los usuarios que necesitan confirmar o actualizar su cuenta, o se desactivará.

"Con la pandemia de coronavirus, estamos comenzando a ver más suplantaciones gubernamentales que ofrecen consejos de salud, fondos de ayuda o la capacidad de rastrear nuevos casos en su área ", dijo Baggett.

No existe una panacea única para ayudar a los consumidores y las TI de las empresas a atrapar o evitar que estas estafas de phishing funcionen, según Anand. Por lo tanto, las organizaciones necesitan equilibrar una variedad de medidas de seguridad y cambios de procesos para mejorar su postura de respuesta a los ataques de phishing.

Controles de seguridad nativos y de terceros, conocimiento de los empleados, políticas de cumplimiento como SSO y 2FA, y tener una respuesta rápida a incidentes automatizada todos juegan un papel en la difusión de los ataques de obtención de credenciales.

"En el caso de este ataque del Bank of America, la bandera roja más grande es la 'bandera roja de contexto' que surge cuanto más piensas en el correo electrónico, es decir, Bank of America no enviará un correo electrónico a su dirección de trabajo con una solicitud de actualización de credenciales. Pero los empleados ocupados a menudo no tienen el tiempo o el lujo de pensar en cada correo electrónico en su bandeja de entrada y terminan siguiendo la acción del correo electrónico ", dijo Anand .

Qué más hacer

Baggett recomienda a los consumidores y a las TI de las empresas que hagan dos cosas para atrapar o evitar que estas estafas de credenciales de cosecha funcionen. Primero, implemente una sofisticada protección de correo basada en software para que las máquinas bloqueen la gran mayoría de estas estafas antes de la entrega y los usuarios nunca interactúen con ellas.

Segundo, capacite a los usuarios para que sospechen del correo electrónico en general. Si bien los humanos no pueden distinguir los correos electrónicos reales de los falsos, sigue siendo una buena idea utilizar el entrenamiento de conciencia de phishing para enseñar a los usuarios a no confiar en sus ojos cuando se trata de correo electrónico. Sobre todo, siempre verifique cualquier correo electrónico confidencial a través de otro canal de comunicación separado.

"En otras palabras, enseñe a los usuarios a levantar el teléfono, enviar un mensaje de Slack, etc. para verificar que el correo que están viendo realmente es de de quién parece ser ", dijo Baggett.

Como ejemplo, INKY facilita esta medida preventiva al colocar pancartas de advertencia amarillas en correos electrónicos con contenido confidencial como solicitudes de cable, solicitudes de restablecimiento de contraseña, etc. INKY contrarresta el encubrimiento confuso Unicode técnica al procesar el correo, píxel por píxel, de modo que el software de INKY "vea" el correo como lo verá el destinatario humano.

Esto permite a INKY hacer coincidir el texto del correo electrónico de una manera "difusa" o aproximada basada en imágenes. . Por ejemplo, reconoce la forma general de las formas de letras en lugar de las identidades de letras específicas.

Respuestas del cerebro humano

Anand favorece a los destinatarios de correo electrónico utilizando algunos análisis básicos para frustrar las estafas de recolección de credenciales. Está de acuerdo en que los empleados ocupados no pueden mirar cada correo electrónico con la parte racional y más lenta de su cerebro. Pero pueden aprender a desconfiar de las señales de identidad, comportamiento e idioma en los correos electrónicos que leen.

Por ejemplo, bajo identidad, los usuarios deben confirmar que el correo electrónico realmente proviene de la persona / organización de la que dice provenir. , incluido el dominio, el nombre del remitente, etc. Bajo el comportamiento, los usuarios deben preguntarse si el correo electrónico es coherente con los comportamientos anteriores exhibidos por el remitente del correo electrónico. Pregúntese si Bank of America generalmente envía correos electrónicos a su dirección de trabajo. Según el lenguaje, los usuarios deben desconfiar de cualquier correo electrónico que intente provocar urgencia, miedo y autoridad.

"Es injusto poner toda esta responsabilidad en los usuarios finales. Las organizaciones deben buscar invertir en nativos y de terceros. controles de seguridad de correo electrónico que analizan estas señales y más ", sugirió Anand.


Leave a Reply

Your email address will not be published. Required fields are marked *

CLip art of Flip Day 2 CLip art of Flip Day 1 CLip art of Flip Day 1