Los ataques de recolección de credenciales apuntan a las aplicaciones de videoconferencias

 Ataques de phishing en aplicaciones de video y zoom

Los usuarios de Zoom y otras herramientas de videoconferencia deben ser conscientes del creciente riesgo de ataques de suplantación de identidad. Incluso el uso de otras plataformas de video para mantenerse en contacto con amigos a nivel social ahora plantea mayores riesgos de seguridad.

Un informe publicado este mes por Eli Sanders, científico jefe de datos en INKY intentó aumentar conciencia de esta creciente vulnerabilidad. INKY es una plataforma de seguridad de correo electrónico basada en la nube que utiliza inteligencia artificial para detectar signos de fraude, junto con correo no deseado y malware.

Los investigadores de INKY identificaron ataques provenientes de Australia, Alemania, Estados Unidos y otros lugares. Los ciberdelincuentes están capitalizando el aumento exponencial de usuarios que recurren a Zoom y Teams para colaborar en redes de trabajo y amigos.

Phishing Frenzy

Zoom ha experimentado un aumento sin precedentes de nuevos usuarios este año, impulsado principalmente por los bloqueos pandémicos de COVID-19. Este gigante de las videoconferencias basadas en la web saltó de 10 millones de participantes en reuniones diarias en diciembre pasado a 300 millones en abril.

Este aumento meteórico de usuarios provocó un "verdadero frenesí de phishing" en el que los ciberdelincuentes de todo el mundo intentan aprovechar las oportunidades de estafa. y fraude. Estos incluyen una explosión de invitaciones a reuniones falsas que se hacen pasar por Zoom y Teams en incursiones de phishing que intentan robar los detalles confidenciales de los usuarios.

"Algunos usuarios pueden no ser conscientes de las precauciones o [be] no estar familiarizados con el funcionamiento de Zoom. El objetivo de esta campaña de phishing es para robar credenciales de Microsoft, pero en realidad no es necesario iniciar sesión en una cuenta de Microsoft para asistir a una conferencia de Zoom ", dijo Sanders a TechNewsWorld.

También es frecuente un problema relacionado llamado" Bombardeo de Zoom ". Los trolls y los piratas informáticos interrumpen las conferencias públicas no protegidas por contraseña al cargar contenido gráfico ofensivo, enlaces maliciosos y malware, agregó.

Otras plataformas también son peligrosas. Los malos actores también envían correos electrónicos de phishing similares que se hacen pasar por Microsoft Teams, Skype, RingCentral y Cisco Webex.

¿Por qué tanto alboroto?

Cuando se roban las credenciales de inicio de sesión de alguien, los ladrones venden la información en la Dark Web a varios malos actores. El phisher también tiene acceso inmediato a la cuenta de Microsoft de la víctima, por lo que puede ver todos los correos electrónicos, acceder a cargas confidenciales en OneDrive o enviar correos electrónicos de phishing desde esa cuenta comprometida, explicó Sanders.

INKY afirmó que su tecnología detuvo aproximadamente 5,000 de estos phishing. Ataques La compañía destacó el origen y el mecanismo de ataque de 13 plantillas de phishing únicas, todas diseñadas para atraer a los usuarios de Zoom a que renuncien a los tipos de credenciales confidenciales que permiten a los ciberdelincuentes robar miles de millones de dólares cada año.

Las pérdidas promedio por empresa totalizaron casi 75.000 dólares estadounidenses por incidente en 2019. Este tipo de ataques de phishing pueden condenar a las pequeñas y medianas empresas. No es sorprendente que la expresión "Zoom & Doom" forme parte del título del informe INKY .

El estado de recién llegado de Zoom y la prisa por adaptarse a trabajar desde casa contribuyeron a hacer de la plataforma de vídeo un objetivo de ataque frecuente. . Zoom tiene muchos usuarios nuevos ya que los estudiantes y trabajadores ahora confían en él para reemplazar las reuniones en persona, acordó Sanders.

Esté siempre en guardia

Saber que estas estafas de phishing están en aumento, a lo grande, es una cosa. Ser capaz de evitar ser víctima de ellos es otra cosa.

Los señuelos de phishing comunes son notificaciones falsas enviadas en el correo de voz, alertas de nuevos documentos y actualizaciones de cuentas. El objetivo de los atacantes suele ser la recolección de credenciales o la instalación de malware con un archivo adjunto de correo electrónico, según Sanders.

Un paso básico que las organizaciones pueden brindar a su personal es la capacitación de concienciación del usuario para ayudar a quienes normalmente interactúan con estos ataques de phishing a aprender a ser sospechoso de su correo electrónico.

Una táctica es que el usuario busque manualmente pistas que pueden ser bastante obvias. Por ejemplo, busque remitentes desconocidos, coloque el cursor sobre un enlace (sin hacer clic) para revelar la URL incrustada detrás de él y sospeche de los archivos adjuntos, sugirió Sanders.

Muchas empresas también han realizado una inversión previa en pasarelas de correo electrónico de seguridad (SEG). para intentar detectar estos correos electrónicos maliciosos. Pero los malos actores son creativos y engañan al usuario ya estos sistemas heredados todo el tiempo, señaló.

Se puede acceder fácilmente a estas plataformas tanto desde computadoras de trabajo como desde dispositivos móviles. En teléfonos y tabletas, las pantallas más pequeñas ocultan muchas de las señales de alerta que los empleados han sido capacitados para detectar, según Hank Schless, gerente senior de soluciones de seguridad en Lookout .

"Los dispositivos también acortarán el el nombre del archivo o URL que entrega el actor de la amenaza. Esto dificulta la detección de un documento sospechoso o el nombre de un sitio web ", dijo a TechNewsWorld.

Si el usuario hace clic en el enlace malicioso y va a la página de phishing, puede ser casi imposible detectar las diferencias entre la página real y la falsa. Si los empleados no están familiarizados con la interfaz de la plataforma, es poco probable que puedan detectar los obsequios de la página de phishing o incluso preguntar por qué se les pide que inicien sesión en primer lugar, explicó Schless.

Peligros al acecho

Incluso antes del COVID-19 y el trabajo remoto global, los malos actores utilizaban rutinariamente enlaces falsos de Google G-Suite y Microsoft Office 365 para intentar engañar a los empleados de una empresa. El número de personas que utilizan Zoom y Teams ha aumentado drásticamente y todo el mundo se ve obligado a trabajar desde casa.

Los actores maliciosos saben que los nuevos usuarios no están familiarizados con las aplicaciones. Por lo tanto, los ciberdelincuentes explotan URL maliciosas y archivos adjuntos de mensajes falsos para atraer objetivos a páginas de phishing, señaló Schless.

Las tasas de phishing móvil son un 200 por ciento más altas para los usuarios de Office 365 y G-Suite que para aquellos que no las tienen, según datos de Lookout. . Es mucho más probable que los empleados interactúen con un vínculo o documento si parece que es parte del ecosistema de aplicaciones que ya usa.

"Cuando sus empleados están fuera de la oficina y en movimiento, es muy probable que vayan a estar revisando documentos en dispositivos móviles ", agregó.

Es probable que asuntos como este sean un problema en todo tipo de plataforma, para siempre. Esta es solo una versión 2020 de phishing o spear phishing (envío de correos electrónicos falsos dirigidos), según Bryan Becker, gerente de producto en WhiteHat Security .

"Incluso las plataformas de videojuegos tienen este problema con los delincuentes que usan estos técnicas para robar monedas virtuales ", dijo a TechNewsWorld.

Todo lo que uno tiene que hacer es mirar una de las campañas de phishing más recientes llevadas a cabo contra los usuarios de Twitter, observó Becker.

" Los acontecimientos recientes en Twitter son un

Se estaba refiriendo al anuncio del 30 de julio que los funcionarios de Twitter hicieron sobre el ataque de phishing sin precedentes del 15 de julio contra 130 personas, incluidos directores ejecutivos, celebridades y políticos. Los atacantes tomaron el control de 45 de esas cuentas y las usaron para enviar tweets promoviendo una estafa básica de bitcoins.

Revelaciones de artimañas

El informe de INKY señaló las múltiples técnicas que los atacantes utilizaron en las campañas de Zoom y Teams. Sanders destacó algunas de esas técnicas:

  • Enlaces maliciosos a páginas de inicio de sesión falsas de O365 o Outlook, donde una simple copia y pegado del código fuente / HTML real de Microsoft hace que parezca muy convincente el usuario;
  • archivos adjuntos HTML que crean la página de inicio de sesión falsa como localhost en la computadora del usuario. La inclusión de un archivo adjunto evita que los SEG encuentren el enlace en una lista de bloqueo / verificadores de reputación de la industria. Además, los archivos adjuntos están codificados para que los humanos o el SEG típico no los puedan leer;
  • El atacante personaliza el correo electrónico de phishing con información de la dirección de correo electrónico del usuario. Los atacantes agregan el nombre del usuario o de la empresa como parte del nombre para mostrar del remitente, el contenido del correo electrónico, el enlace malicioso (creado dinámicamente), el nombre de la reunión de zoom;
  • Logotipos falsos que en realidad son solo texto y trucos CSS para que aparezca como un logotipo en para pasar por la SEG.

Sanders detalló otros trucos que los atacantes usaban para llevar a cabo los ataques de phishing. Por ejemplo, usaron cuentas secuestradas para superar cualquier verificación de SPF o DKIM o crearon nuevos dominios con nombres que suenan realistas para engañar a los usuarios, como Zoom Communications.com o Zoom VideoConfrence.com.

¿Notó el error de ortografía? Los errores ortográficos y gramaticales son pistas típicas de un ataque. Pero muchos usuarios simplemente no notan tales cosas.

Si bien algunas cuentas secuestradas son bien conocidas y se pueden encontrar en listas de bloqueo de la industria, las nuevas cuentas están intentando implementar un ataque de día cero para evitar la SEG, explicó Sanders. Finalmente, son descubiertos y bloqueados. Pero mientras tanto, pueden superar los SEG.


Leave a Reply

Your email address will not be published. Required fields are marked *

IMAGESLOVER Photo Flip Day 1 CLip art of Flip Day 2