Proofpoint Phishing roba las credenciales de correo electrónico de Office 365 y Google

by | November 10, 2021 | Noticias de Ciberseguridad

Un phishing recién descubierto se hace pasar irónicamente por una empresa de ciberseguridad para escabullirse de las defensas de Microsoft y robar credenciales de inicio de sesión. Habla de un lobo con piel de oveja.

Phishing disfrazado de empresa de ciberseguridad

Los ciberdelincuentes están intensificando su juego haciéndose pasar por la firma de seguridad Proofpoint y recolectando las credenciales de los usuarios de correo electrónico de Microsoft Office 365 y Google.

Los investigadores de Armorblox detectaron esta falsificación maliciosa dirigida a casi mil empleados dentro de una empresa de comunicaciones global. El nombre de la organización permanece sin revelar.

“El correo electrónico decía contener un archivo seguro enviado a través de Proofpoint como enlace”, explicó el equipo el jueves. blog post. “Al hacer clic en el enlace, las víctimas llegaron a una página de presentación que falsificaba la marca Proofpoint y contenía enlaces de inicio de sesión para diferentes proveedores de correo electrónico. El ataque incluyó falsificaciones de páginas de inicio de sesión dedicadas para Microsoft y Google “.

Uso de los pagos hipotecarios como cebo

El señuelo del correo electrónico era un archivo que afirmaba estar vinculado a los pagos de la hipoteca. La línea de asunto, “Re: Solicitud de pago”, está diseñada para engañar a los usuarios haciéndoles pensar que era parte de la correspondencia en curso, que parece más legítima y confiable, al tiempo que hace que la acción solicitada parezca urgente.

“Agregar ‘Re’ al título del correo electrónico es una táctica que hemos observado a los estafadores antes; esto significa una conversación en curso y podría hacer que las víctimas hagan clic en el correo electrónico más rápido”, según el informe.

Email spoofing sobre uso compartido de archivos desde una notificación de Proofpoint. Créditos: Armorblox

Si los objetivos hacían clic en la URL “segura” incrustada en el mensaje, eran redirigidos a una página de inicio de sesión de Proofpoint falsificada.

“Al hacer clic en los botones de Google y Office 365, se generaron flujos de inicio de sesión falsos dedicados para Google y Microsoft, respectivamente”, escribieron los investigadores. “Ambos flujos solicitaron la dirección de correo electrónico y la contraseña de la víctima”.

Al hacer clic en el enlace del correo electrónico, se accede a una página de inicio de sesión de Proofpoint falsificada. Créditos: Armorblox

Mezclándose con la rutina

El phishing furtivo aprovecha los flujos de trabajo que ya están presentes en las actividades diarias de muchos usuarios (por ejemplo, recibir notificaciones por correo electrónico cuando alguien comparte archivos con ellos a través de la nube). Los investigadores explicaron cómo los atacantes apostaban a que los destinatarios no cuestionaran demasiado los mensajes falsos.

“Cuando vemos correos electrónicos que ya hemos visto antes, nuestros cerebros tienden a emplear el pensamiento del Sistema 1 y tomar medidas rápidas”, según el análisis.

La suplantación de identidad engañó a las víctimas con páginas falsas de inicio de sesión de Office 365 y Google.
Páginas de inicio de sesión falsas de Office 365 y Google. Créditos: Armorblox

Los correos electrónicos se enviaron desde una cuenta de correo electrónico legítima pero secuestrada que pertenece a un departamento de bomberos en Francia. Esto ayudó a que los mensajes eludieran los filtros de seguridad y no fueran marcados como spam.

Las páginas de robo de credenciales se alojaron en el dominio principal “greenleafproperties [.] Co [.] Uk”.

“The domain’s WhoIs record shows it was last updated in April 2021,” researchers wrote. “The URL currently redirects to ‘cvgproperties[.]co[.]uk.’ The barebones website with questionable marketing the possibility that this is a dummy site.”“El registro WhoIs del dominio muestra que se actualizó por última vez en abril de 2021”, escribieron los investigadores. “Actualmente, la URL redirige a ‘cvgproperties [.] Co [.] Uk”. El sitio web básico con marketing cuestionable em, [increases]wpcodeself existe la posibilidad de que este sea un sitio ficticio “.

Consejos para esquivar el gancho

Dichos ataques utilizan astutas técnicas de ingeniería social, suplantación de marca y comprometen dominios legítimos para enviar correos electrónicos maliciosos para evitar los filtros de correo electrónico y el ojo inexperto del usuario promedio. Con respecto a la prevención del phishing, Armorblox ofreció los siguientes consejos:

  • Tenga cuidado con la ingeniería social: examine todos los correos electrónicos a fondo: inspeccione el nombre del remitente, la dirección de correo electrónico, el idioma y cualquier inconsistencia dentro del mensaje.
  • Habilite MFA: use MFA (autenticación multifactor) siempre que sea posible, tanto para cuentas laborales como personales. Además, nunca recicle las contraseñas.

La formación en conciencia de seguridad es imprescindible: elija ATTACK Simulator

Pero, lo más importante de todas las medidas de seguridad contra el phishing, la implementación de capacitación en concientización sobre seguridad en su empresa debe estar en la parte superior de su lista de prioridades.

Necesita capacitación en conciencia de seguridad para sus empleados por muchas razones:

  • Para prevenir ciberataques e infracciones
  • Para fortalecer tus defensas tecnológicas
  • Para atraer más clientes
  • Para hacerte más responsable socialmente
  • Para empoderar a tus empleados
  • Para cumplir con los estándares de cumplimiento
  • Para evitar tiempos de inactividad y mantener una buena reputación

Aquí hay algunas ventajas increíbles de elegirnos:

  • Simulación automatizada de ataques – simulamos todo tipo de ciberataques: phishing, malware, ransomware, spear-phishing, robo de identidad, ataques a la privacidad en línea, estafas en línea, etc.
  • Escenarios de la vida real– evaluamos la vulnerabilidad de los usuarios para proporcionar datos personales o relacionados con la empresa mediante páginas web realistas.
  • Análisis del comportamiento del usuario– recopilamos datos del usuario y los compilamos en informes extensos para brindarle una imagen detallada del nivel de conciencia de seguridad de sus empleados.
  • Réplicas de archivos maliciosos– nuestros correos electrónicos contienen réplicas de archivos maliciosos para que la simulación sea lo más realista posible.
  • Lecciones interactivas – si los empleados no reconocen nuestras trampas y caen en una, serán redirigidos a páginas de destino con lecturas rápidas sobre las mejores prácticas de seguridad.
  • Nos hacemos pasar por marcas populares en nuestras páginas de phishing simuladas – el usuario estará más tentado a hacer clic en la URL o abrir el archivo adjunto en el correo electrónico.

El programa de capacitación en concientización de seguridad de ATTACK Simulator lo ayudará a equipar a sus empleados con el conocimiento de seguridad necesario y las prácticas de seguridad actualizadas para mantener a su empresa a salvo de estafadores y evitar daños potencialmente irreparables.

Fuentes:

Threatpost Proofpoint Phish Harvests Microsoft O365, Google Logins

Armorblox A Pointed Spoof: Proofpoint Credential Phishing

Atribución:

Foro por David Clode en Unsplash

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.