Ataques de phishing aprovechando servicios legítimos
Los actores maliciosos suelen hacerse pasar por marcas de confianza en sus campañas de phishing para dar credibilidad a sus mensajes. De hecho, más del 51 % de los intentos de phishing suplantaron la identidad de una de las 20 marcas más importantes del mundo. Las últimas investigaciones muestran ahora cómo estos ciberdelincuentes están intensificando su juego: ya no se limitan a suplantar marcas, sino que aprovechan servicios legítimos de esas marcas para entregar su carga malintencionada.
El Informe sobre las amenazas de phishing en 2023 muestra este aumento de los correos electrónicos de phishing que aprovechan servicios legítimos proporcionados por marcas como LinkedIn y Baidu para enviar enlaces maliciosos. Los actores maliciosos han estado utilizando estos servicios como redirecciones a sus sitios web maliciosos para intentar robar credenciales de usuario. También han utilizado servicios legítimos de envío de correo electrónico, como Sendgrid.
Aunque el señuelo concreto utilizado en estas campañas puede variar, la mayoría de los intentos de phishing suplantaron la identidad de DocuSign utilizando imágenes como la siguiente: en este caso concreto, el atacante utilizó un correo electrónico con el asunto "Document shared for 552 Friday-August-2023 07:07 AM".
Figura 1: PNG utilizado en el correo electrónico de suplantación de DocuSign
Como se muestra más arriba, el actor malicioso utilizó una imagen PNG de una solicitud de DocuSign aparentemente legítima que estaba hipervinculada a este popular motor de búsqueda chino, Baidu:
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
que redirige a: hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
El remitente utilizó un dominio empresarial legítimo, @ciptaprimayoga.com, que parece ser una empresa indonesia de baterías probablemente comprometida. Utilizando un dominio legítimo, el atacante puede eludir las medidas de seguridad que comprueban la antigüedad del dominio (es decir, la fecha de creación) como parte de su proceso de mitigación.
Una vez que se hace clic en el enlace, la empresa del destinatario a través de la ruta URL se representa automáticamente en una página de inicio de sesión personalizada de Microsoft.
Como parte de nuestra investigación, hicimos clic en el enlace malicioso y una página de inicio de sesión personalizada de Cloudflare cargó dinámicamente el logotipo de la empresa y la imagen de fondo de la famosa pared de la lámpara de lava de Cloudflare.
Figura 2: Suplantación de credenciales de Microsoft utilizando la marca Cloudflare
Después de introducir las credenciales, que roba el atacante, el sitio web redirige a Office.com.
Otro servicio que se utiliza con frecuencia y se explota para enviar correos electrónicos de phishing es SendGrid, como se muestra en la imagen siguiente, donde se está aprovechando esta empresa de marketing por correo electrónico para enviar estafas telefónicas de PayPal. El uso de SendGrid permite a los actores maliciosos eludir los métodos tradicionales de seguridad del correo electrónico, como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication Reporting and Conformance (DMARC), y dar credibilidad a sus campañas.
Figura 3: Estafa telefónica de PayPal enviada mediante SendGrid
Esta y otras estafas similares intentan que los usuarios llamen al número de teléfono indicado, que es redirigido a un centro de llamadas donde les esperan actores maliciosos que intentarán convencer a las víctimas de que instalen malware y robarles información bancaria por teléfono.
El 89 % de las medidas de autentificación del correo electrónico no detiene las amenazas. Las tácticas de phishing son cada vez más frecuentes y logran acceder a las bandejas de entrada de los usuarios, por lo que es más importante que nunca reforzar la ciberresiliencia en la cultura de la empresa y proteger tu organización contra las amenazas basadas en el correo electrónico.
La seguridad del correo electrónico de Cloudflare utiliza el aprendizaje automático avanzado y la inteligencia artificial para descubrir en tiempo real las nuevas tácticas de los actores maliciosos para eludir la seguridad tradicional y a los proveedores de correo electrónico en la nube. Solicita una evaluación gratuita del riesgo de ph ishing para ver qué ataques de phishing pueden estar dejando pasar tus sistemas actuales de seguridad del correo electrónico.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Consigue el Informe sobre las amenazas de phishing de 2023 para conocer todas las conclusiones sobre las tendencias recientes y las recomendaciones para prevenir que los ataques tengan éxito.
Autor
Maaz Qureshi
Ingeniero de respuesta a amenazas, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Se están utilizando servicios legítimos para enviar carga malintencionada.
El 89 % de las medidas de autentificación del correo electrónico no detiene las amenazas.
Cómo la seguridad preventiva del correo electrónico descubre nuevas tácticas que eluden la seguridad tradicional.