I'm The Blog

Feel free to read our awesome blog.

¿Los códigos QR se están usando en ataques de phishing?

Un cambio tecnológico acelerado por la pandemia de COVID-19 es el resurgimiento de los códigos QR. A medida que se generaliza su uso, las posibilidades de explotarlos crecen exponencialmente. Este artículo confirma el uso de los códigos QR en los ataques de phishing.

Los atacantes adaptan y perfeccionan constantemente sus tácticas en un intento de eludir la detección o de ser más eficaces en lograr sus objetivos maliciosos. A menudo, estos ajustes tácticos se aprovechan de los cambios sociales; un ejemplo reciente fue el aumento de correos electrónicos de phishing dirigidos a empleados en trabajo remoto.

¿Qué son los códigos QR?

Los códigos de respuesta rápida (QR) son códigos de barras que almacenan información de forma bidimensional, lo que significa que la información que contienen puede leerse de arriba abajo y de izquierda a derecha. Los dispositivos digitales, incluidos los smartphones, pueden leer fácilmente la información contenida en la imagen.

Cada código tiene una capacidad máxima de datos de 4.296 caracteres alfanuméricos. El origen de esta tecnología se remonta a 1994, cuando unos ingenieros japoneses empezaron a utilizar los códigos de barras para hacer un seguimiento de las piezas de una fábrica de automóviles. Cada código QR contiene patrones de detección de posición, que facilitan una lectura precisa y rápida por parte de los dispositivos de escaneado.

Después de limitarse principalmente a casos de uso industrial, los códigos QR empezaron a extenderse a una serie de aplicaciones orientadas al consumidor en 2011, como empresas que los colocaban en anuncios de eventos, descuentos y promociones. Sin embargo, su adopción fue lenta y se especuló su desaparición en 2014, debido a una combinación de mala implementación por parte de las empresas y de usuarios que no estaban lo suficientemente motivados como para instalar la aplicación específica necesaria para escanearlos.

A medida que los teléfonos inteligentes se hicieron más avanzados, los fabricantes añadieron escáneres QR a las cámaras de sus teléfonos inteligentes, de modo que los usuarios no necesitaban una aplicación dedicada. El resultado fue un aumento gradual del número de personas que escaneaban códigos QR para descargar aplicaciones, visitar sitios web o acceder a un punto de acceso Wi-Fi, en comparación con los métodos habituales.

 

El resurgimiento de los códigos QR

Entre los muchos cambios tecnológicos influidos por COVID-19 se encuentra el enorme resurgimiento de los códigos QR. Con el distanciamiento social obligatorio en los entornos minoristas, negocios como restaurantes y cafeterías tuvieron que idear formas de mantener a salvo al personal y a los clientes mientras intentaban ganar dinero y sobrevivir.

Los códigos QR ofrecieron una solución al permitir a los clientes escanear un código de barras, ver los menús y hacer pedidos, todo ello manteniendo una distancia de seguridad. La renuncia a los menús físicos tenía por objeto ayudar a reducir la propagación del coronavirus a través de las gotitas de los menús mal desinfectados.

Otro uso fue para confirmar el estado de vacunación de las personas. En lugares en los que la entrada estaba limitada únicamente a personas totalmente vacunadas, escanear un código ayudaba a las empresas a asegurarse de que cumplían estos protocolos de seguridad.

 

¿Cómo funciona un ataque de phishing con código QR?

Ahora que los códigos QR son omnipresentes, los ciberdelincuentes tienen la oportunidad de aprovecharse de su popularidad y estafar a la gente. Incrustar enlaces a sitios web maliciosos dentro de un código QR puede dar buenos resultados, ya que la gente tiende a confiar automáticamente en ellos.

Mientras que las URL sospechosas son detectables por los humanos en texto plano, enmascararlas dentro de códigos QR significa que la gente no puede leerlas y verificar que la URL parece sospechosa.

El potencial de que los ciberdelincuentes se aprovechen de los códigos QR llevó a los analistas de seguridad a acuñar un nuevo tipo de ataque de phishing conocido como “quishing”. A continuación te explicamos cómo funciona según Ankush Johar: 

PhishingCodigoQR

 

Paso 1: Recibes un correo electrónico con un código QR, que parece venir como un “Archivo Compartido” a través de sharepoint, onedrive o de Google drive. (Ejemplo a continuación de la demostración de HumanFirewall)

 

 

 

Paso 2: Sacas tu teléfono y escaneas el código en tu cámara, y ¡listo! Has sido víctima de phishing. (Imagen de muestra de cómo se ve en los dispositivos Apple/iOS y Android).

 

 

Paso 3: El código QR te lleva a un enlace malicioso. Llegó a tu buzón de correo porque no fue detectado por las Secure Email Gateways y sus analizadores de enlaces, pero a partir de este punto el peligro es que el enlace puede robar credenciales o descargar malware en el teléfono y desencadenar riesgos, que no solo afectarán al dispositivo, sino también a la red y la seguridad corporativa.

 

Ejemplos de ataques reales de phishing con códigos QR

Ya no es mera especulación, se han producido algunos ejemplos de incidentes que se aprovechan directamente de la creciente dependencia de las personas y las empresas del uso de códigos QR.

 

Estafas en San Antonio y Austin

En diciembre de 2021, las fuerzas de seguridad de San Antonio y Austin advirtieron a los tejanos de una estafa con códigos QR en la que los ciberdelincuentes colocaban pegatinas con códigos QR maliciosos en los parquímetros. Ambas ciudades sólo permiten pagar el aparcamiento con monedas o con una app específica. Aprovechando el uso generalizado de los códigos QR, los autores de la amenaza esperaban que los incautos escanearan el código e intentaran pagar el aparcamiento en la página web a la que se les enviaba. Esta URL era, de hecho, un enlace falso que engañaba a la gente para que revelara los datos de su tarjeta de pago.

 

Robo de credenciales de Microsoft 365

En otoño de 2021, los atacantes llevaron a cabo una campaña de robo de credenciales mediante el uso de cuentas de correo electrónico previamente comprometidas para enviar mensajes de correo electrónico desde las cuentas reales utilizadas por los compañeros de trabajo, que pasan correctamente por los email security gateways (SEG) tradicionales, y parecen reales y seguras para los destinatarios.

Estos correos electrónicos de phishing decían incluir un mensaje de voz importante, pero requerían que la víctima escaneara un código QR para poder escuchar el mensaje. Los usuarios que escaneaban el código QR eran enviados a un sitio web de phishing que les pedía sus credenciales de Microsoft O365 antes de darles acceso al archivo de audio inexistente.

No está claro si alguien cayó en esta estafa, pero los atacantes consideran que las credenciales de inicio de sesión de Microsoft Office 365 son especialmente útiles para lograr otros objetivos, como robar datos confidenciales o introducirse en la red de una empresa.

 

Consejos para utilizar los códigos QR de forma segura

Hoy en día los códigos QR parecen estar en todas partes y se utilizan para muchas aplicaciones diferentes de cara al cliente, ¿Qué puedes hacer para utilizarlos de forma segura?

  1. En los códigos QR que te llevan a una URL, examina la dirección para asegurarte de que es auténtica y no contiene errores tipográficos.
  2. Ten cuidado al escanear códigos URL físicos, que no hayan sido manipulados, y mucho cuidado si ves un código QR adhesivo en cualquier lugar.
  3. No descargues aplicaciones escaneando directamente; en su lugar, anota el nombre de la aplicación, búscala en la tienda de aplicaciones que utilices y descárgala desde allí.
  4. Si alguna vez recibes un correo electrónico en el que se te informa que tienes que completar una transacción con un código QR, llama al banco o a la entidad financiera para verificar esta información y/o navega hasta el sitio web sin escanear el código para asegurarte de que estás visitando una URL de confianza.
  5. Desconfía de cualquier código QR que te informe de la posibilidad de ganar algún tipo de premio si escaneas el código.
  6. En general, no confíes en los códigos QR de los correos electrónicos, ya que sería más fácil y tendría más sentido que un remitente legítimo insertará un enlace real en el texto del correo electrónico.

 

La amenaza de las estafas con códigos QR actualmente es tan alta que el FBI ha publicado una alerta en la que explica cómo los ciberdelincuentes manipulan estos códigos para robar dinero.

 Ahora que conoces los riesgos potenciales y las medidas de mitigación que debes tomar, tendrás más posibilidades de mantenerte a salvo durante el resurgimiento de los códigos QR.

 

Webinar: ¿Sigues recibiendo phishing en Microsoft 365?

Fuente: Blog de Ironscales – Are Threat Actors Using QR Codes in Phishing Attacks?

4 tendencias en ataques de phishing que se esperan en 2023

Los ataques de phishing están aumentando. Como resultado, los cibercriminales están evolucionando rápidamente sus tácticas para eludir los sistemas heredados y engañar a los objetivos vulnerables, lo que hace que los equipos de TI y seguridad dediquen más tiempo y dinero a responder a las amenazas en nuevas superficies de ataque. Desafortunadamente, según el informe de Osterman Research, The Business Cost of Phishing, “la mayoría de las organizaciones anticipan que las amenazas de phishing generarán mucho trabajo de respuesta a incidentes , y a muchas les gustaría estar mejor equipadas para lidiar con ellas”.

Esta publicación revela algunas de las plataformas de ataque que son usadas por los ciberdelincuentes para llevar a cabo sus ataques de phishing.

 

4 Mecanismos de entrega emergentes para ataques de phishing

 

1.  Aplicaciones de mensajería

En agosto de 2022, se informó de que un ataque conocido como la estafa de “mamá y papá” estaba costando a los residentes australianos más de 2 millones de dólares. En la estafa, el atacante envía mensajes a la víctima en la popular aplicación de mensajería, WhatsApp, fingiendo ser el hijo de la víctima que necesita dinero.

Con más de 2 mil millones de usuarios activos en todo el mundo, es probable que los ciberdelincuentes aumenten su uso de aplicaciones de mensajería como WhatsApp para ofrecer amenazas de phishing. Según Osterman Research, el 57 % de los encuestados ya están viendo ataques que llegan a los usuarios finales en aplicaciones de mensajería.

 

2. Plataformas de intercambio de archivos basadas en la nube

Los atacantes se han hecho pasar por plataformas populares de intercambio de archivos para robar credenciales desde hace un tiempo, y no parece que eso termine pronto. El 50 % de los recientes encuestados por  Osterman indicaron que están viendo ataques entregados desde plataformas de intercambio de archivos basadas en la nube.

Una estrategia común incluye la suplantación de un correo electrónico de intercambio de archivos y una página de inicio de sesión para obtener credenciales. Sin embargo, ha surgido una nueva tendencia en la que los actores de amenazas utilizan la función de comentarios en Google Docs para entregar enlaces maliciosos a la bandeja de entrada del objetivo.

 

3. Servicios de mensajería de texto (SMS)

Otro mecanismo de entrega popular para ataques de phishing (o smishing en este caso) es a través de servicios de mensajería de texto (SMS). El costo comercial del phishing informa que el 49 % de los equipos de TI y seguridad están viendo este tipo de ataques.

Una adaptación recientemente efectiva de un ataque de smishing es el “nag attack” en el que el atacante, generalmente bajo el disfraz de TI, envía repetidamente al mismo mensaje a la víctima prevista con la esperanza de que el objetivo responda o haga clic en un enlace que le dará al atacante acceso a datos confidenciales. Los atacantes ya han vulnerado con éxito empresas como Uber con este tipo de ataques. Con altas recompensas y crecientes tasas de éxito, los equipos de TI y seguridad deben estar al tanto de estos ataques e incluirlos en sus campañas de pruebas de simulación de phishing.

 

4. Plataformas de colaboración empresarial

A medida que más y más empresas confían en plataformas de colaboración, como Microsoft Teams y Slack para comunicarse con su fuerza laboral distribuida globalmente y remota, los ciberactores están explorando estas oportunidades para atacarlos a través de estas plataformas. En el estudio “The Business Cost of Phishing”, el 40 % de los encuestados indican que están viendo ataques a Teams y Slack.

Proteger a su organización contra los ataques a Microsoft Teams se convertirá en un componente crítico de su estrategia de seguridad.

 

registro a webinar phishing en buzones Microsoft 365

Ataques polimórficos de phishing, qué son y 5 formas de detenerlos

¿QUÉ ES AUN ATAQUE DE PHISHING  “POLIMÓRFICO”?

Es un tipo de ataque avanzado en el que los cibercriminales realizan pequeños cambios en el mismo correo electrónico que se envía a diferentes destinatarios dentro de la organización objetivo, por ejemplo, en la línea de asunto o el nombre del remitente, mientras investigan los sistemas de seguridad para ver qué podría pasar.

Los ataques polimórficos normalmente comienzan con una campaña dirigida, diseñada para obtener las credenciales de los usuarios. Cuando los primeros muerden el anzuelo, el atacante usa sus credenciales para apuntar a otros usuarios. De esta manera el cambio dinámico en el ataque evita que los controles tradicionales (normalmente, gateways de protección de correo electrónico (SEG)) filtren los mensajes.

¿POR QUÉ SON TAN EXITOSOS?

Una campaña que carece de uniformidad o patrón no parece una campaña y dificulta que los operadores de seguridad mantengan las reglas actualizadas en la soluciones tradicionales de gateway. Para muchos equipos de ciberseguridad que carecen de disponibilidad o herramientas que permitan encontrar el alcance completo de un ataque polimórfico y posteriormente poner en cuarentena los correos es un desafío y requiere mucho tiempo.

Peor aún, los ataques polimórficos no solo son efectivos, sino que son muy fáciles de lanzar gracias a kits automatizados y económicos que se venden en el mercado negro.

Es por esto que una estrategia de defensa que conjunta inteligencia artificial y concientización en ciberseguridad a nuestros usuarios se vuelve crucial.

1.LOS ATAQUES DE PHISHING NO SE DETIENEN SOLAMENTE CON TECNOLOGÍA

Los controles perimetrales detendrán la mayoría de los correos electrónicos de phishing. Después de todo, la tecnología de seguridad está diseñada para detener las amenazas en volumen.
Pero, ¿qué sucede cuando los atacantes usan la tecnología para engañar a su tecnología? Aquí hay un ejemplo. El laboratorio del Instituto Nacional de Tecnología de EE. UU. (NIST) emitió un aviso sobre la amenaza que describiremos a continuación.

Los investigadores desarrollaron un ataque de prueba de concepto llamado ProofPudding para mostrar cómo se podría usar un algoritmo de aprendizaje automático para encontrar debilidades en el Security EMail Gateway (SEG) de Proofpoint.

Proofpoint agregó encabezados de correo electrónico que contenían información confidencial sobre sus algoritmos. Mediante el envío selectivo de variaciones de correos electrónicos al gateway, los investigadores pudieron determinar qué modificaciones y/o palabras clave específicas se bloquearían o permitirían a través de este. En otras palabras, aunque el SEG detuvo la mayoría de los miles de correos electrónicos de phishing que vio, carecía de la información necesaria para saber que un atacante había realizado ajustes. Hizo el trabajo para el que estaba programado, una y otra vez, pero no recibió instrucciones de buscar otros indicadores problemáticos.

2. LA INTUICIÓN HUMANA ES UN INGREDIENTE CLAVE

A diferencia de las máquinas, los humanos, tanto usuarios bien capacitados como profesionales equipos de seguridad vienen “equipados” con intuición. Saben o pueden ser entrenados para confiar en su instinto cuando miran correos electrónicos. La intuición humana es crucial al enfrentar especialmente ataques de phishing polimórficos sobre todo es necesario reportarlo al equipo de seguridad para tomar las medidas pertinentes.

Una cadena de ciberataque normalmente tendrá varios eslabones, desde el reconocimiento del atacante hasta la actuación sobre los objetivos. Los usuarios  bien entrenados funcionarán como capa adicional de protección pero si por alguna razón el humano no se percata de la amenaza, como sucede inevitablemente con algunos, los equipos de seguridad necesitan visibilidad y automatización para poder responder rápidamente.

3. EL MEJOR ENTRENAMIENTO ES EL QUE IMITA A LOS ATAQUES QUE RECIBE LA ORGANIZACIÓN (NO TE PUEDES DEFENDER DE LO QUE NO PUEDES VER)

En un mundo de amenazas infinitas, ¿ en cuáles debe capacitar a los usuarios para que detecten?.

La respuesta es en aquellos que realmente recibe la compañía, para esto necesitamos una herramienta que a través de inteligencia artificial pueda contener y aislar de manera automática los ataques que nuestro gateway no puede detener. Conociendo el panorama de amenazas que acechan podemos diseñar campañas de simulación y entrenamiento,  si esos correos electrónicos maliciosos cambiaron de forma modificando asuntos, remitentes o cualquier otro elemento, la simulación ayudará a detener el próximo ataque polimórfico.

4. LA DETECCIÓN A TRAVÉS DE USUARIOS ES BUENA PERO SI SE REPORTA EN TIEMPO REAL MUCHO MEJOR 

“Crear una cultura en la que los usuarios puedan denunciar los intentos de phishing le brinda información vital sobre qué tipos de ataques de phishing se están utilizando”, esta frase fue tomada del  Centro Nacional de Ciberseguridad del Reino Unido. La idea es simple: con práctica frecuente, cualquier usuario puede aprender a detectar un phishing y denunciarlo para su investigación. Reportar las amenazas  son una parte importante entre la concienciación y la respuesta, es realmente un comportamiento aprendido, una especie de condicionamiento, que desarrolla “memoria muscular” para que los usuarios no lo piensen dos veces antes de levantar la mano.

5. EL FACTOR HUMANO ES IMPORTANTE PERO LOS PILARES SON LA DETECCIÓN Y RESPUESTA AUTOMATIZADA.

Cuando los correos electrónicos de phishing llegan a la bandeja de entrada, el tiempo corre. En promedio, los usuarios solo tardan 82 segundos en comenzar a hacer clic en una campaña de phishing (dato de CyberDB – Anti-Phishing Simulation and awareness market overview). ¿Se imagina las implicaciones cuando la campaña es polimórfica?, para detener el ataque, necesita automatización para acelerar su respuesta a la amenaza.

Análisis de correo electrónico, búsqueda y cuarentena

Cuando los equipos de seguridad intentan responder manualmente a los informes de phishing generalmente se quedan atrás. Simplemente hay demasiados correos electrónicos, la mayoría de ellos inofensivos y ¿quién más recibió el phish? es como buscar una aguja en un pajar. La automatización a través de inteligencia artificial puede eliminar el ruido , identificar amenazas reales y ponerlas en cuarentena evitando la materialización de un incidente que pueda poner en peligro a su organización.

Si deseas conocer si tu actual solución es efectiva contra ataques polimórficos da click en la liga y agenda tu sesión gratuita.

Nekt-Auditoría EMail  Ataques Avanzados

¡Contáctanos! ([email protected])

 

¿Cómo detectar y mitigar un ataque de cuenta de email corporativo secuestrada en Microsoft 365? (Account Takeover)

¿QUÉ ES “ACCOUNT TAKEOVER” (SECUESTRO DE CUENTA CORPORATIVA)?

Este término es utilizado cuando un atacante obtiene acceso y controla las credenciales de la cuenta de un usuario y después utiliza esta cuenta comprometida para ejecutar una amplia variedad de ataques. Por lo general, comienzan haciendo cambios en la cuenta para que al propietario real le resulte más difícil recuperar el control. Una vez que se que la cuenta de correo electrónico esta totalmente comprometida pueden acceder a administradores de contraseñas con credenciales de inicio de sesión legítimas en cuentas bancarias de la empresa, recursos que incluyen datos personales de otros empleados o clientes y moverse lateralmente dentro de la red de la organización para establecer puntos de apoyo adicionales para lanzar otros tipos de ataques.

Una de las primeras cosas que los cibercriminales suelen hacer con las credenciales robadas es enviar correos electrónicos de phishing a otros empleados para ampliar su capacidad de control dentro de la organización; este tipo de actividad puede ser difícil de detectar ya que el atacante parece un empleado real para la mayoría de las herramientas de seguridad.

DETECCIÓN

Detectar el secuestro de una cuenta o una dirección de correo electrónico comprometida no es tan fácil como buscar cambios de contraseña desde una nueva dirección IP o dispositivo. Ese tipo de cosas suceden todo el tiempo, como cuando un empleado recibe un nuevo teléfono inteligente. La detección precisa requiere un análisis avanzado de múltiples puntos donde encontraremos datos relevantes:

  • Datos de eventos de administración de acceso e identidad (IAM), como eventos de Microsoft Active Directory.
  • Datos de eventos a nivel de cuenta de correo electrónico, como reglas de manejo de correo electrónico nuevas e inusuales.
  • Comportamiento y patrones de usuarios, como mensajes de correo electrónico enviados a múltiples destinatarios internos que nunca antes se habían contactado.

La cantidad de combinaciones de eventos en estas fuentes de datos es enorme y encontrar indicadores válidos de apropiación de cuentas es extremadamente desafiante. Para evitar alertas de falsos positivos, nuestra solución de detección de amenazas en correo electrónico a través de inteligencia artificial (IRONSCALES) analiza en tiempo real múltiples tipos de datos, no solo eventos de Active Directory,  esto para identificar actividades sospechosas de usuarios y patrones de comportamiento. Por ejemplo, varios intentos fallidos de inicio de sesión en una aplicación podrían significar que el usuario olvidó su contraseña. Pero al combinar los intentos fallidos de inicio de sesión + nuevas reglas de reenvío y eliminación de correo electrónico + actividad de viajes imposible (donde la distancia entre su última ubicación de inicio de sesión y la nueva no podría ser recorrida por un avión) se obtienen todos los signos de que estamos ante un incidente de secuestro de cuenta.

REMEDIACIÓN

Los ataques de “account takeover” (ATO), como Business Email Compromise (BEC), tienen el potencial de propagarse a través de una organización como reguero de pólvora. Un ataque exitoso puede provocar brechas de datos y el compromiso de otras cuentas muy rápidamente.

Como tal, IRONSCALES no clasifica automáticamente dichos incidentes, sino que proporciona de inmediato a los analistas de SOC toda la información necesaria para remediar con precisión y evitar una mayor propagación, lo que se realiza con dos simples clics.

IRONSCALES es una solución integral que se implementa sencilla y rápidamente en Microsoft 365 y Google Workspace, cuenta con características de protección y detección de alto valor:

  • Análisis en tiempo real de datos de eventos a través de inteligencia artificial donde otras soluciones buscan amenazas solo por reputación, adjuntos maliciosos o listas negras sin tener éxito.
  • Correlación y análisis de múltiples fuentes de datos en lugar de solo eventos de Active Directory
  • Remediación simple e intuitiva con 2 clics

En NEKT podemos ayudarte con un diagnóstico integral sin costo sobre las amenazas que ha permitido tu actual solución de protección de correo así como la capacidad de entregar una “fotografía” 90 días previos a la activación de la prueba (Microsoft 365) así como 60 días posteriores incluyendo protección con inteligencia artificial y simulación de ataques de phishing

¡Contáctanos! ([email protected])

IronScales Blog -Marzo 2022

5 predicciones de seguridad del correo electrónico y phishing para 2022 (Parte 2)

Prepararse para las últimas amenazas de phishing y seguridad del correo electrónico requiere anticipar lo que se avecina durante el próximo año.

La primera parte de esta serie de predicciones cubrió la posible aparición de phishing profundo, la evolución de las pandillas de ransomware y más. Esto es lo que 2022 puede tener reservado desde la perspectiva de la seguridad del correo electrónico y phishing.

ACCEDIENDO DESDE UN CORREO ELECTRÓNICO PERSONAL A ENTORNOS CORPORATIVOS

Con las campañas de phishing creciendo en volumen y sofisticación, la mayoría de las empresas reconocen la necesidad de promover la concientización sobre el phishing entre sus empleados como parte de su estrategia de seguridad.

Por lo general, se indica a los empleados que busquen señales de correos electrónicos maliciosos que lleguen a las cuentas de correo electrónico de su empresa, pero eso no mitiga totalmente las amenazas. Los emails con un blanco específico son más difíciles de detectar sin una solución específica que use inteligencia artificial para este fin. Más preocupante aún,  es la difuminada frontera que se genera al trabajar remotamente o desde casa al combinar el uso de  correo electrónico personal, corporativo y ambientes o aplicaciones de colaboración.

En 2022, se espera ver que los ciber criminales comiencen a centrar su atención en acceder a las direcciones de correo electrónico personales, computadoras portátiles y teléfonos inteligentes de los empleados que comparten acceso directo o indirecto a las redes, servicios y activos corporativos. Es  muy probable que puedan lanzar ataques de ransomware o malware dirigido a direcciones de correo personal, que cuando se instala en el dispositivo de un usuario, brinda capacidades de control remoto y acceso eventual a la infraestructura dentro de los entornos corporativos.

MOVER EL “QUESO” A LA NUBE

La adopción del computo en la nube por parte de las empresas continuará en 2022,  las posibles reducciones de costos y una mayor flexibilidad en la infraestructura de TI son las principales motivaciones para la adopción de  esquemas de nube.

Ahora, sin embargo, las preocupaciones de seguridad están empujando a las organizaciones a reemplazar la infraestructura local con servicios basados ​​en la nube más allá de los beneficios mencionados. Los ataques de ingeniería social aumentaron 270% en 2021, y las campañas de phishing representaron la mayor parte de ese aumento, se espera que esta tendencia continúe durante 2022, ya que los cibercriminales reconocen cada vez más el poder del phishing  como punto de entrada a las redes empresariales.

Al mover más servicios empresariales clave a la nube, los equipos de seguridad cibernética creen que pueden reducir el daño potencial infligido por los ataques de phishing. La naturaleza interconectada de la infraestructura local a menudo permite a los atacantes tener rienda suelta sobre un entorno completo e instalar malware fácilmente. La esperanza es que incluso si los ataques de phishing exitosos comprometen un servicio, ejecutar todo en la nube como un ambiente aislado ayuda a evitar los peores impactos de estos ataques que permiten la infiltración a entornos locales completos.

PAGO POR CREDENCIALES DE ACCESO

Un artículo interesante e igualmente impactante apareció en Vice el año pasado describiendo cómo una empresa ofreció 500 dólares a empleados en los Estados Unidos a cambio de detalles de inicio de sesión en cuentas corporativas.

La empresa también prometió acceso a una plataforma propietaria en la que los empleados podrían comparar sus ingresos con otros trabajadores de nivel similar en diferentes organizaciones. Los investigadores de seguridad descubrieron una gran cantidad de otros dominios sospechosos que atraían a los empleados con ofertas similares.

Si bien existen consecuencias legales por compartir las credenciales de inicio de sesión corporativas, algunos empleados podrían sentirse atraídos por las recompensas monetarias y considerarlo de bajo riesgo. Después de todo, con tantas violaciones de datos en los últimos años, sus credenciales de inicio de sesión en al menos una cuenta probablemente estén en la dark web.

Fingir ignorancia sería relativamente trivial a menos que las autoridades lograran rastrear los pagos y las comunicaciones entre los empleados y quienes pagan por el acceso. Se espera ver este tipo de campañas de phishing cada vez más frecuentes en 2022. Las recompensas monetarias y el acceso a información valiosa amplifican la oferta a través de mensajes maliciosos, siendo una combinación que a algunas personas les resultará difícil no caer.

Desafortunadamente, el resultado probable es que aquellos que revelan sus credenciales no obtengan nada en absoluto y los ciber actores utilizarán sus datos de inicio de sesión para lanzar ataques en la red corporativa de su empleador.

PHISHING BASADO EN MÁQUINAS EN VARIAS FASES

Las noticias sobre una evolución preocupante en phishing surgieron a principios de 2022 cuando Microsoft descubrió una campaña de varias etapas utilizando un truco de registro legítimo de dispositivos. El ataque en cuestión utiliza credenciales comprometidas de inicio de sesión de los empleados a través de mensajes de phishing tradicionales.

La siguiente fase involucró phishing basado en máquinas que engaña a la red de destino para que acepte un dispositivo controlado por hackers. Gracias a las políticas BYOD pudieron registrar su dispositivo en la red utilizando credenciales robadas aparentemente legítimas y el  servicio de Azure Active Directory asumió que el dispositivo era legítimo. Una vez dentro de la red, los cibercriminales enviaron un conjunto de mensajes de phishing dirigidos a destinatarios internos específicos.

Las organizaciones y/o usuarios que no implementaron autenticación multifactorial para el registro de nuevos dispositivos se convirtieron en víctimas de este ataque de varias fases. Estos ataques se incrementaran a medida que se desarrolle 2022.

PHISHING COMO HERRAMIENTA GEOPOLÍTICA

Por último, el phishing como herramienta de influencia geopolítica seguirá desplegándose como una forma de influir en las elecciones de otros países. La intervención rusa en la carrera presidencial estadounidense de 2016 está bien documentada. En ella se usaron mensajes de phishing dirigido para apuntar a cuentas de correo electrónico pertenecientes a miembros de la campaña presidencial de Hillary Clinton y revelar detalles de esas cuentas.

Aparentemente, se utilizaron tácticas de interferencia similares con campañas de phishing en la carrera presidencial de Estados Unidos de 2020. Otros países han tomado nota del potencial del phishing como herramienta geopolítica. El Equipo de Respuesta a Emergencias Informáticas de Singapur emitió un aviso sobre la posibilidad de que el phishing interfiera con elecciones importantes.

CONCLUSIONES FINALES

Otras cosas significativas y sorprendentes sucederán en la seguridad del correo electrónico y phishing durante 2022. La realidad es que los actores de amenazas siempre buscan innovar sus tácticas y encontrar formas de eludir los controles existentes. Es por eso que las organizaciones necesitan más que un “gateway” de seguridad para correo electrónico (SEG), necesitan una solución de seguridad de correo electrónico dedicada y de autoaprendizaje y con detección a través de inteligencia artificial que se adapte continuamente a las últimas tácticas y evite que estos mensajes dañinos lleguen a los empleados.

En NEKT podemos ayudarte a estar preparado para enfrentar estos retos, contamos con tecnología de punta para detectarlas y mitigarlas. ¡Contáctanos!

IronScales Blog – Febrero 2022

5 predicciones de seguridad del correo electrónico y phishing para 2022 (Parte 1)

La pandemia del coronavirus (COVID-19) aceleró la adopción y el crecimiento de las herramientas de colaboración en equipo. Una encuesta de Gartner de 2021 encontró que 80% de los empleados usaban herramientas como Slack y Microsoft Teams para mantener la productividad y comunicarse rápidamente sobre problemas laborales urgentes.

Estas plataformas de colaboración en equipo resultaron invaluables para las fuerzas de trabajo remotas e híbridas durante los últimos dos años, y están aquí para quedarse.

Se espera en 2022 un gran ataque de ransomware que comience realizando una campaña de phishing a través de una de estas plataformas de colaboración. El phishing es una de las formas más comunes de obtener acceso inicial a una red en ataques de ransomware. Debido a que estas aplicaciones son parte de las actividades diarias de los empleados es muy probable que los hackers intenten atraparlos con la guardia baja a través de mensajes engañosos en estas plataformas.

En Slack, por ejemplo, los intrusos pueden enviar mensajes falsos con enlaces, archivos maliciosos o solicitudes de información privada si obtienen acceso a la URL de webhook única del canal. Si un usuario hace clic en el enlace incorrecto o sin saberlo abre un archivo sospechoso y el daño está hecho. Una vez obtenido el acceso intentarán moverse lateralmente dentro de una red corporativa y aumentar los privilegios para que finalmente puedan cifrar servidores y estaciones de trabajo.

USO DE “DEEP LEARNING” PARA CREAR MENSAJES DE PHISHING CONVINCENTES

Investigadores en seguridad se pusieron a trabajar y se dieron cuenta del poder del “deep learning” (aprendizaje profundo) en 2021, cuando las pruebas demostraron que la inteligencia artificial podía escribir mejores correos electrónicos de phishing que los humanos. Spear phishing es un ataque más específico centrado en un individuo o grupo en particular dentro de una organización. Si bien los mensajes de phishing genéricos son más fáciles de detectar, la naturaleza altamente específica del phishing selectivo hace que sea más difícil de descubrir. Estos correos electrónicos suelen hacer referencia a nombres específicos y sus roles dentro de la organización, además de hacerse pasar por ejecutivos de alto nivel de la empresa o socios proveedores de confianza.

Los experimentos involucraron a investigadores de seguridad que enviaron mensajes de phishing a 200 colegas. Los mensajes fueron elaborados tanto por humanos como por modelos de deep learning. Los resultados mostraron que los mensajes escritos con GPT-3 (modelo de lenguaje de OpenAI, que es capaz de programar, diseñar y hasta conversar como humano) fueron más efectivos que los humanos para persuadir a los destinatarios de hacer clic en los enlaces que contenían.

El deep learning es un campo de la IA (Inteligencia Artificial) que utiliza redes neuronales para extraer características de alto nivel de los datos. Los ciber atacantes podrán usar plataformas de deep learning para obtener información personal de las redes sociales y otras fuentes para generar correos electrónicos de phishing aún más personalizados.

LA APARICIÓN DE LOS DEEPFAKES EN EL PHISHING

Los deepfakes son archivos de audio o video sintéticos generados mediante algoritmos de deep learning. La mayoría de las personas reconoce el uso  de esta tecnología de forma inofensiva para crear videos divertidos, a menudo reemplazando la cara de una persona con otra en un video existente. Sin embargo, hay usos mucho más peligrosos de esta tecnología.

Una posibilidad en 2022 es la aparición del phishing profundo (deep phishing). El cibercrimen creará audio o video haciéndose pasar por un CEO, propietario u otro empleado de alto nivel de la empresa para que las personas divulguen información confidencial o tomen otra acción deseada que podría conducir a la extorsión, la apropiación de cuentas o la extracción de datos.

La probabilidad de ser engañado por un mensaje de correo de voz que suena exactamente como un líder de la empresa es muy alta. El mismo destino le depara al video, dado que los directores ejecutivos y los propietarios suelen tener una fuerte presencia pública esto proporciona gran cantidad de datos que pueden usar a favor los atacantes.

Las apariciones en video de seminarios web, los podcasts y otros medios se pueden usar como entradas para ayudar a algoritmos de deep learning a generar videos o audio con mayor precisión haciéndose pasar por alguien.

SUPLANTACIÓN DE IDENTIDAD EN LA CADENA DE SUMINISTRO

Varios ataques cibernéticos recientes destacan por buscar explotar eslabones débiles en las cadenas de suministro para comprometer objetivos altamente lucrativos.

Las campañas de phishing se están dirigiendo cada vez más a terceros, incluidos socios, vendedores y proveedores en 2022. Vulnerar una cuenta de correo electrónico en ellos puede comenzar el aprovechamiento de las relaciones de confianza en terceros para enviar correos electrónicos maliciosos a objetivos atractivos o de alto nivel en las organizaciones con las que interactúan.

El dominio del socio o proveedor a menudo será de confianza de forma predeterminada en la empresa objetivo, lo que hace que sea mucho más difícil para una puerta de enlace de correo electrónico segura marcar o detectar una dirección de correo electrónico falsificada o correos electrónicos de phishing.

El phishing en la cadena de suministro es una posibilidad incluso sin el compromiso de la cuenta de un tercero. Simplemente falsificar a un socio puede ser suficiente para engañar a alguien y obtener acceso a la red o información adicional como un número de cuenta bancaria u otra información personal que se puede usar en un ataque de phishing selectivo.

GRUPOS DE RANSOMWARE EN EVOLUCIÓN

El vínculo entre el phishing y el ransomware es tan fuerte que es importante intentar predecir cómo se desarrollarán estos ataques en los próximos meses. La aparición de BlackCat a fines de 2021 sirvió como la primera señal de advertencia de qué esperar.

El ransomware siempre se ha centrado en la extorsión: en su forma más temprana, las tácticas se centraron en aprovechar el miedo que se genera al cifrar servidores, archivos y estaciones de trabajo, ocasionando que las víctimas paguen. En los últimos dos años se agrego una doble extorsión amenazando con la publicación de los datos obtenidos.

En 2022, se espera que los grupos de ransomware agreguen otra capa a sus tácticas de extorsión para presionar aún más a las víctimas para que realicen pagos. La triple extorsión agrega la amenaza de un ataque DDoS en la infraestructura de red de las víctimas. En un mundo donde el tiempo de inactividad es increíblemente costoso, muchas organizaciones considerarán pagar para evitar esta consecuencia.

Otra evolución a esperar es que el cibercrimen se desplace cada vez más hacia otras criptomonedas para recibir pagos de rescate. Bitcoin se puede rastrear, y las fuerzas del orden emplean varias técnicas analíticas para asociar direcciones Bitcoin a direcciones IP. Teniendo en cuenta la naturaleza dominante de esta criptomoneda y sus vulnerabilidades de privacidad, espere ver más ciber actores exigiendo pagos a través de monedas con fuertes capacidades de privacidad como Monero y Zcash.

MÁS POR VENIR…

Eso concluye la primera parte de esta serie de dos partes sobre ataques en correo electrónico y predicciones de phishing para 2022. Si hay algo que aprender aquí, es que el phishing evolucionará para convertirse en una amenaza aún más sofisticada. Confiar solo en empleados conscientes de la seguridad no será suficiente.

Las empresas necesitarán una solución de seguridad de correo electrónico avanzada y de nueva generación como parte de su estrategia de seguridad para ayudar a combatir las amenazas modernas.

En NEKT podemos ayudarte a estar preparado para enfrentar este reto, contamos con tecnología de punta que utiliza inteligencia artificial para detectarlas y mitigarlas. ¡Contáctanos!

 

IronScales Blog – Febrero 2022

¿Cómo va y hasta dónde puede llegar la ciberguerra entre Rusia y Ucrania?

El inicio formal de la operación militar de Rusia en Ucrania fue hace dos semanas, aunque ya se libraba una ciberguerra desde mucho antes en la red de internet, según informes de empresas de ciberseguridad.

Un ataque estuvo dirigido principalmente a bancos y ministerios ucranianos con un nuevo malware denominado HermeticWiper, dio a conocer Jean-Ian Boutin, jefe de investigación de amenazas en la firma de ciberseguridad ESET.

El llamado malware tipo wiper o limpiaparabrisas, tiene el propósito de destruir los datos de las víctimas, y aparentemente (dejar las computadoras “limpias”), demostró en Ucrania ser eficaz en hacerlo.

El viceprimer ministro Mykailo Fyodorov dijo que Ucrania sufrió un ciberataque masivo que afectó a las principales páginas web del gobierno. Agregó que el ataque comenzó a última hora de la tarde del 23 de febrero y afectó a varios bancos, así como a sitios web oficiales, sin especificar su origen.

ESET aseguró que el malware HermeticWiper solo había sido observado en Ucrania.

Sin embargo, la compañía Symantec Threat Intelligence de Broadcom detectó ataques de borrado de datos en Letonia y Lituania, así como en Ucrania, con contratistas financieros y gubernamentales como objetivos.

La ciberguerra con malware se puede expandir al mundo

La comunidad de ciberdefensa internacional teme que, al igual que muchos otros ataques como el famoso NotPetya, el alcance de HermeticWiper se expanda en el mundo.

El malware del limpiaparabrisas no es el único incidente de ciberseguridad contra Ucrania. Ataques DDoS (Denegación de servicio distribuida) derribaron los sitios web de varios bancos y agencias gubernamentales. Una agresión DDoS similar se inició la semana pasada contra bancos en Estados Unidos, algo de lo que funcionarios estadounidenses culparon al gobierno ruso.

En enero pasado, el Centro de Inteligencia sobre Amenazas de Microsoft (MSTIC) detectó evidencia de una operación de malware destructiva dirigida a múltiples organizaciones en Ucrania.

A mediados del primer mes de 2022, otro wiper de datos llamado WhisperGate se extendió por Ucrania apuntando a organizaciones de este país; el malware se hizo pasar por un ransomware y trajo algunos ecos del ataque NotPetya que impactó a esa nación en junio de 2017, antes de causar estragos en todo el mundo.

Lo preocupante es que autoridades de varios países, incluido Robert Silvers, subsecretario de Homeland Security, y el mismo Presidente Biden aseguran que “no hemos visto lo peor de los ataques de Rusia”, y se habla ya de una “ciberbomba nuclear” que Rusia puede detonar si se siente acorralada, asi que a estar pendientes.

 

Manuel Rivera ([email protected] @mriveraraba) es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad en las américas.

Mercado Libre: hackean parte de su código fuente y acceden a datos de 300 mil usuarios

Mercado Libre, la empresa multinacional de comercio electrónico, confirmó que un ciber actor no autorizado tuvo acceso a parte de su código fuente y a datos de aproximadamente 300,000 usuarios, el mismo día en que el grupo LAPSUS$ insinuó que tendría en su poder datos filtrados de la empresa.

LAPSUS$ es el mismo grupo detrás de recientes filtraciones de las corporaciones NVIDIA y Samsung. Desde su descubrimiento en diciembre de 2021, el grupo LAPSUS$ hackeó a varias organizaciones, incluyendo a los proveedores de telecomunicaciones sudamericanos Claro y Embratel.

En su postura oficial, Mercado Libre aseguró que se activaron los protocolos de seguridad y que se encuentra en proceso de análisis a profundidad. Además, afirma que el análisis inicial arrojó que no hay evidencia de que los sistemas de infraestructura hayan sido comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta o tarjetas de pago.

Este grupo comenzó a filtrar información en diciembre pasado, una de sus primeras víctimas fue el Ministerio de salud de Brasil. Estaban enfocados en víctimas sudamericanas, aunque fueron aumentando su alcance. Los ciber atacantes están realizando una votación en foros especializados para que sean los cibernautas los que determinen qué información debe ser publicada primero.
La fecha límite para votar es el 13 de marzo y es cuando se sabrá lo que ocurrirá con la información.

El comunicado textual de Mercado Libre es el siguiente: “Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”

Aunque se accedió a los datos de aproximadamente 300,000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento -y según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago. Estamos tomando medidas estrictas para evitar nuevos incidentes”.

MercadoLibre también posee un servicio llamado Mercado Pago, una plataforma de cobro a los compradores y pagos y abonos a los vendedores. Según The Nielsen Company más de 52,000 personas generan todo o la mayor parte de sus ingresos vendiendo a través de MercadoLibre y en 2009 más de tres millones de personas y empresas vendieron por lo menos un artículo a través de este medio.

Para 2016, Mercado Libre tenía 174 millones de usuarios en el continente y había vendido 181 millones de productos en dicho año.

73% de los expertos en ciberseguridad desconfían de que la seguridad de los dispositivos IoT

Todos los gadgets que nos hacen hoy la vida más sencilla y placentera y que nos permiten manejar desde la cafetera hasta la entrada de la casa vía internet, a través del Internet de las Cosas (IoT, por sus siglas en inglés), representan un gran riesgo de sufrir ciberataques, explicó Michal Braverman-Blumenstyk CEO del Microsoft R&D Israel Center.

“El mundo físico y virtual se están juntando con el IoT y las Tecnologías de Operación (OT, por sus siglas en inglés). Mientras esto representa un progreso sorprendente, alguien está echando a perder la fiesta – los atacantes, que están utilizando esta oportunidad para tratar de interrumpirnos”, dijo una de las pocas líderes globales en ciberseguridad.

Durante su participación en uno de los principales eventos de tecnología globales, Cybertech 2022, Braverman-Blumenstyk destacó que el IoT se encuentra en todos los aspectos de nuestra vida, desde los semáforos en las calles, la industria de la manufactura, dispositivos médicos, etc.

Por ejemplo, a fines de 2021 un grupo de hackers derribó una red eléctrica en Ucrania y provocó el primer apagón de un ataque cibernético.

El Internet de las cosas está conectando más dispositivos diariamente y para 2024 habrá 64,000 millones de dispositivos IoT, de acuerdo con Business Insider Intelligence.

¿Qué opinan los expertos en ciberseguridad sobre los dispositivos IoT?

Según Braverman-Blumenstyk, el IoT y la OT son los dos sectores en más riesgo de ataques, por ser los menos observados.

De acuerdo con una encuesta global que hicieron entre jefes de seguridad informática de las empresas más grandes del mundo (CISO, por sus siglas en ingles), se revela que:

“73% dijeron que no sabían cómo proteger sus dispositivos y 60% dijeron que ni siquiera saben si los dispositivos IoT fueron atacados”, detalló Braverman-Blumenstyk

Adicionalmente, 68% de los encuestados aseguran que IoT/OT son ya críticos para apoyar la innovación de su negocio. Sin embargo, 70% declaran no tener visibilidad en este espectro.

¿Qué se puede hacer para mantener seguros los dispositivos IoT?

Braverman-Blumenstyk enfatizó la necesidad de proteger la arquitectura moderna de las empresas con soluciones específicas en diferentes áreas, pero que convergen.

Por su parte Orchestra Group, compañía israelí experta en la detección y mitigación de riesgos precisamente en el espectro IoT asegura que la cantidad de empresas que hoy ya tienen protección activa es muy limitada, mientras que todas están ya de forma irreversible expuestas al riesgo.

Según el informe Cybersecurity Insights Report de AT&T, que encuestó a más de 5,000 empresas del mundo, 85% están en el proceso o tienen la intención de implementar dispositivos IoT. Sin embargo, solo 10% de los entrevistados confía en que podría proteger esos dispositivos contra hackers.

 

Manuel Rivera ([email protected] @mriveraraba) es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad en las américas.

EU-Israel: colaboración cibernética

Ayer miércoles por la tarde, el recientemente nombrado CEO del Ciberdirectorio Israeli, el General Brigadier Gaby Portnoy así como el Subsecretario para Política de Homeland Security de los Estados Unidos, Robert Silvers han firmado un acuerdo de colaboración bilateral cuyo objetivo es incrementar la Ciberdefensa de sus estados; especificamente el acuerdo comprende según Silvers “hacer investigación y desarrollo para fortalecer la ciberesiliencia de ambos estado, la ciberseguridad en los distintos medios críticos de transporte como seguridad aérea, marítima y ferroviaria, así como seguridad en infraestructura de ductos de petróleo y gas”. En palabras del mismo Silvers, “Israel es un socio en seguridad indispensable”.

Por la mañana, en el marco de Cybertech 2022, Robert Silvers compartió interesantes conclusiones sobre los eventos geopolíticos y de ciberseguridad actuales que al menos aceleran la necesidad de un acuerdo como el firmado, entre los que destacan:

Hasta el día de hoy no se tiene evidencia de ataques inminentes de Rusia a los Estados Unidos, sin embargo, han visto repetidos ataques en Ucrania incluyendo su infraestructura crítica.

Iran, otra potencia cibernética no debe dejar de contemplarse como un potencial riesgo de siguiente atacante-estado. Es un rival que Silvers califica de alto riesgo y que se puede sumar al conflicto.

Estados Unidos se está dando a la tarea de crear y distribuir manuales de reacción (o playbooks) para que las organizaciones pueden manejar ciberintrusiones y maximizar ciberesiliencia en caso de ataques.

Silvers asegura que la respuesta de los Estados Unidos a los ataques será de la misma magnitud y agresividad que aquellos recibidos, para lo cual, el gobierno de los estados unidos ha formado alianzas para colaborar con las organizaciones tecnológicas que en palabras de Silvers hoy trabajan “hombro con hombro”.

La colaboración entre Estados Unidos e Israel en temas de seguridad no es nada nueva, sin embargo es clarísimo que derivado del escalamiento de hostilidades provenientes de Rusia -gran potencia cibernética ofensiva- en vista del complicado ambiente geopolítico que ahora impera en el mundo, parecen fortalecer sus lazos.

Manuel Rivera ([email protected] @mriveraraba) es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad en las américas.

¿Necesitas ayuda?