Al alojar páginas de phishing en un servicio legítimo en la nube, los ciberdelincuentes intentan evitar despertar sospechas, dice Check Point Research.
Imagen: Getty Images / iStockphoto
Las campañas de phishing a menudo intentan evadir la detección no solo haciéndose pasar por empresas y marcas conocidas, sino también almacenando su contenido malicioso en un sitio web legítimo. La idea es que estas páginas de phishing eviten la detección por parte de los productos de seguridad y atrapen más fácilmente a las víctimas desprevenidas. Un reciente ataque de phishing analizado por el proveedor de inteligencia de amenazas cibernéticas Check Point Research está utilizando los servicios de Google Cloud para ocultar su intención maliciosa.
VER: Seguridad de confianza cero: una hoja de trucos (.) (TechRepublic)
en un entrada de blog publicada el martesCheck Point descubrió que esta campaña en particular comienza cargando un archivo PDF en Google Drive. Construido para parecerse a un aviso de Microsoft SharePoint, el PDF contiene un enlace al documento de acceso, que lleva al usuario a la página de phishing real.
Esta página de phishing está alojada en un dominio llamado storage.googleapis.com, un sitio que a menudo los piratas informáticos explotan para campañas de phishing y otro malware. Con el nombre y la marca de SharePoint Online, la página de suplantación de identidad solicita al usuario que inicie sesión con sus credenciales de Office 365 o el ID de su organización. Elegir cualquiera de las opciones lleva a la persona a una ventana emergente de inicio de sesión que le solicita que inicie sesión con su correo electrónico y contraseña de Microsoft Outlook.
Después de iniciar sesión, se muestra al usuario un informe en PDF real publicado por una empresa de consultoría global. Esta última pieza da a las personas la impresión de que se han registrado en un servicio legítimo a través del cual han recibido información útil o valiosa.
Imagen: Investigación de Check Point
Durante todo el recorrido desde el documento PDF inicial hasta el informe PDF final, la campaña parece ser convincente, especialmente porque la página de phishing está alojada en Google Cloud. Explotar los servicios en la nube de esta manera se ha convertido en una táctica más popular entre los ciberdelincuentes. Debido a que estos servicios generalmente se utilizan con fines legítimos, tanto las víctimas como los administradores de seguridad tienen problemas para identificar y detectar estos ataques.
En este caso, sin embargo, Google se enteró y suspendió este proyecto por abuso de phishing en enero de 2020. La URL se desconectó, al igual que todas las URL asociadas con la campaña.
Para proteger su organización de estos tipos de ataques de phishing, Check Point ofrece los siguientes consejos para los usuarios y administradores de seguridad:
Para usuarios
- Tenga cuidado con los dominios similares, los errores ortográficos en los correos electrónicos o sitios web y los remitentes de correo electrónico desconocidos.
- Tenga cuidado con los archivos recibidos por correo electrónico de remitentes desconocidos, especialmente si le solicitan una determinada acción que normalmente no realizaría.
- Asegúrese de pedir productos de una fuente auténtica. Una forma de hacerlo es NO hacer clic en los enlaces promocionales de los correos electrónicos. En su lugar, busque el minorista que desee y haga clic en el enlace de la página de resultados de Google.
- Tenga cuidado con las ofertas “especiales”.
- No reutilice contraseñas entre diferentes aplicaciones y cuentas.
Para administradores
- Evite los ataques de día cero con arquitecturas cibernéticas de extremo a extremo.
- Bloquea sitios de phishing engañosos.
- Proporcione alertas sobre la reutilización de contraseñas en tiempo real.
- Recuerde que los buzones de correo de sus usuarios son la puerta de entrada a su organización, así que considere usar también medidas de seguridad del correo electrónico.
Tecnotraffic
Esperemos que te haya sido útil Comparte nuestro post . .
Nos vemos pronto!