¿Qué Hacer?
El número de ataques de phishing, el tipo más común de ciberdelincuencia, ha explotado. Peor aún, recientemente han surgido nuevos ataques y kits de phishing ASA con la capacidad de eludir la autenticación multifactor (MFA). Dado que el MFA es uno de los medios más eficaces para detener el phishing, ¿qué significa esto para las personas y las organizaciones? Veamos el estado actual de los ataques de phishing y lo que puedes hacer para hacer frente a esta amenaza en evolución.
Solo en los EE. UU., cientos de miles de empresas e individuos son víctimas cada año. Según el último informe del Centro de Quejas de Delitos en Internet del FBI, de 2019 a 2020, el número de quejas de phishing se disparó de 114.702 a 241.342. Un informe posterior del Grupo de Trabajo Anti-Phishing (APWG) reveló que la actividad alcanzó un récord mensual en el tercer trimestre de 2021 con ataques que se duplicaron desde principios de 2020. Esto hace que el phishing sea, con mucho, el delito cibernético denunciado con más frecuencia.
El phishing es una actividad criminal barata, fácil y efectiva que es probable que se vuelva aún más peligrosa con nuevos kits de derivación de phishing como servicio de MFA de bajo coste. En este artículo, desempaquetaremos por qué ha aumentado el número de exploits de phishing, el peligro aumentado debido al bypass MFA y cómo puedes defenderte de los ataques de phishing.
¿Qué es el phishing como servicio?
El phishing es la forma más común en que los hackers roban tu información e infectan a las organizaciones con malware. Los delincuentes envían correos electrónicos y mensajes de phishing en un intento de atraerte a sitios web falsos donde pueden capturar datos confidenciales o engañarte para que descargues archivos infectados.
Microsoft se encontró recientemente con una campaña de phishing que utilizaba más de 300.000 subdominios recién creados y únicos en una sola ejecución. Su investigación expuso una operación de phishing como servicio a gran escala llamada BulletProofLink.
Hoy en día, al igual que cualquier otro servicio de software, puedes comprar phishing como servicio a proveedores subterráneos. Al igual que muchas marcas SaaS, los hackers ofrecen servicios como plantillas de correo electrónico, alojamiento, automatización e incluso un descuento en su primer pedido. ¿Quieres saber más? Solo tienes que leer la página Acerca de nosotros, suscribirte a su boletín o echar un vistazo a algunos tutoriales de Vimeo. ¡Los grupos de piratería de hoy en día realmente están aumentando sus servicios para sus nefastos clientes!
Al ofrecer más de 100 plantillas de phishing que imitan marcas y servicios conocidos, BulletProofLink proporciona a los grupos de atacantes servicios de phishing únicos o mensuales basados en suscripción. Y como toda marca exitosa “como servicio”, estas operaciones generan un flujo de ingresos constante debido a la alta demanda.
Kits de phishing baratos de suciedad
¿No estás seguro de querer un paquete completo de phishing como servicio? ¿Por qué no pruebas un kit de phishing por tan solo 10 $? O tal vez incluso puedas encontrar uno gratis de un hacker que hackeó un kit de phishing y lo publicó en línea para que todo el mundo lo vea.
Un kit de phishing de credenciales permite incluso a aquellos con habilidades técnicas mínimas desplegar fácilmente un ataque. Los archivos zip preempaquetados contienen todo el código, los gráficos y la configuración necesarios para generar correos electrónicos y páginas web convincentes, pero falsos. Estos kits de phishing reutilizables y fáciles de implementar permiten una gran cantidad de ofertas de bajo coste. Gasta un poco más y obtendrás una actualización que incluye listas de direcciones de correo electrónico, números de teléfono y software automatizado de distribución de malware.
¿Quiénes son los objetivos de los ataques de phishing?
Cualquier persona y cualquier organización que utilice Internet es un objetivo potencial de phishing como servicio. Cada vez es más común recibir correos electrónicos sospechosos invitándote a visitar una página web falsa. Por ejemplo, podría ser un sitio de imitación que se parezca a PayPal. A partir de ahí, los visitantes desprevenidos comparten sus credenciales de inicio de sesión con delincuentes.
Incluso los nombres más importantes han sido objeto de ataques de phishing. En un esquema altamente sofisticado, los estafadores en Lituania incorporaron legalmente una empresa que imitaba Quanta Computer, con sede en Taiwán, un socio comercial legítimo de Facebook y Google.
En la estafa, los conspiradores enviaron correos electrónicos de phishing ajustados para que parezcan correos electrónicos genuinos enviados por empleados reales de Quanta. Facebook y Google recibieron facturas fraudulentas, que “realizaron regularmente transacciones multimillonarias” con Quanta. Antes de que los delincuentes fueran capturados, se habían pagado más de 100 millones de dólares a las cuentas bancarias de la empresa falsa en el transcurso de dos años.
Advertencia: Los nuevos ataques de phishing pueden eludir el MFA
La autenticación multifactor (MFA) es una forma en que las empresas utilizan para minimizar las tasas de éxito de los ataques de phishing. Sin embargo, un análisis reciente ha revelado que los kits de phishing de derivación de MFA están proliferando rápidamente. Estos kits van desde un simple código legible de código abierto hasta productos altamente avanzados que utilizan varias capas de ofuscación con funcionalidad integrada para robar credenciales, tokens MFA y otra información confidencial.
Los ataques de phishing de derivación MFA comenzaron con el phishing de consentimiento. Esto es cuando un delincuente envía un correo electrónico fingiendo ser un colega o amigo y compartiendo un archivo. Al hacer clic en el enlace, el correo electrónico le pide que autorice a Microsoft u otra aplicación popular a acceder a su información personal. Todos estamos tan insensibilizados a leer estos descargos de responsabilidad que aparecen en cada aplicación, y TODOS afirman necesitar acceso a todo, que la mayoría de la gente simplemente acepta. El delincuente captura su token de consentimiento, y con mucho gusto accede a su cuenta e intenta moverse lateralmente. Para ver algunas capturas de pantalla y ejemplos geniales, lea este artículo sobre el phishing de consentimiento.
¿Por qué estos nuevos kits de phishing de derivación MFA aumentan sus riesgos? Los kits de phishing como servicio con derivación de MFA son relativamente baratos y facilitan que las personas con habilidades técnicas limitadas sean ciberdelincuentes exitosos. Aumenta rápidamente el número de malos actores que pueden eludir la seguridad del MFA para robar información. ¿Cómo funcionan los nuevos kits de phishing MFA? Estos kits utilizan proxies inversos transparentes (TRP) que permiten a los atacantes insertarse (estilo de ataque man-in-the-middle) en las sesiones de navegador existentes. Por lo tanto, mientras la víctima visita un sitio web comercial legítimo, la actividad del usuario se observa en todo momento. Los atacantes al acecho incluso pueden robar cookies de sesión, que luego se pueden utilizar más tarde para obtener acceso a cuentas objetivo sin necesidad de un nombre de usuario, contraseña o token MFA.
El phishing tradicional implica que los atacantes creen sitios de impostores para engañar a las víctimas para que introduzcan sus credenciales. Pero los sitios falsos pueden no tener el mismo aspecto, sensación y navegabilidad que los reales. Esto puede alertar a las víctimas potenciales y ahuyentarlas. Sin embargo, con los PRT, se utiliza un sitio legítimo que mejora la confianza y aumenta las tasas de éxito de los ataques, lo que hace que estos ataques sean aún más preocupantes.
Cómo prevenir los ataques de phishing
La tecnología es fundamental para una ciberseguridad eficaz. Aun así, el aumento de los ataques y hazañas de phishing de bajo costo que eluden el MFA revela que se requiere un esfuerzo holístico para mantenerse seguro. Si implementas las siguientes estrategias, puedes ayudar a prevenir la mayoría, si no todos, los intentos de phishing:
- Examine cuidadosamente las direcciones del remitente de correo electrónico: verifique al remitente examinando detenidamente la dirección “de”. Incluso si la dirección se descupera, lea el contenido cuidadosamente, ya que la cuenta del remitente puede haber sido hackeada.
- Tenga cuidado con las tentadoras líneas de asunto: los hackers intentan transmitir una sensación de urgencia para que la gente abra correos electrónicos, haga clic en enlaces y descargue archivos. Tenga cuidado con las líneas de asunto como Urgente/Importante, Atención: actividad inusual de la cuenta detectada e Factura debida: los piratas informáticos con frecuencia intentan crear un sentido de urgencia para que actúe rápidamente. Asegúrate de detenerte y pensar antes de hacer clic.
- Lee atentamente y mantén la guardia: ¿Notas muchos errores ortográficos? ¿Está desactivada la gramática o el tono del mensaje parece extraño? ¿El remitente está haciendo una solicitud inusual? ¿Están diciendo que no se lo digan a nadie sobre el mensaje? Todos estos son regalos clásicos de phishing.
- Examina cuidadosamente los enlaces: comprueba cuidadosamente cualquier destino de enlace. Ten cuidado especialmente con los enlaces cortos. Intenta verificar siempre el destino del enlace antes de hacer clic. Intenta acceder al sitio directamente si se conoce o a través de resultados verificados en los motores de búsqueda.
- En caso de duda, confirme: si tiene alguna inquietud sobre un mensaje o acciones que le pide que realice, especialmente solicitudes de transacciones financieras o intercambio de datos confidenciales, verifique la solicitud utilizando un método alternativo de comunicación segura. Si recibes un correo electrónico, compruébalo con una llamada telefónica rápida. Incluso un correo electrónico nuevo podría no ser seguro si la cuenta de remitente fuera hackeada.
- Considere la posibilidad de requerir autorización de TI para aplicaciones de terceros. Para las organizaciones que ya tienen un proceso estructurado de descarga de aplicaciones, una forma de combatir el phishing de consentimiento es habilitar los flujos de trabajo de “consentimiento del administrador” que ofrecen algunas plataformas. Esto permite a TI ofrecer listas preaprobadas de aplicaciones y examinar nuevas solicitudes de aplicaciones de terceros antes de que los usuarios las descarguen.
El entrenamiento antiphishing es crucial para combatir el phishing con derivación de MFA
Con los nuevos kits de derivación MFA de phishing como servicio, evitar que los usuarios hagan clic es tu mejor defensa. Aunque el conocimiento es poder, la práctica hace la perfección. Cualquiera puede ser sorprendido desprevenido durante una agitada jornada laboral. Se necesita práctica para desarrollar un ojo agudo para las pistas de phishing. Es por eso que la formación continua es esencial para una seguridad sólida contra el phishing.
¿Por qué no empezar ahora? contacte a nuestra empresa para conocer nuestro servicio de CONCIENTIZACIÓN EN CIBERSEGURIDAD que se basa en ataques simulados (pasivos) que buscan medir el comportamiento de los usuarios frente a amenazas tales como: – Ransomware – Phishing (adaptado a cada país) – Malware – Exploits – Privacidad – Fraude. Más información en https://bit.ly/3hBtO4c
Fuente: https://www.lmgsecurity.com/new-phishing-as-a-service-kits-bypass-mfa-heres-what-to-do-next/