El phishing fiscal supera la seguridad del correo electrónico de Google Workspace - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El phishing fiscal supera la seguridad del correo electrónico de Google Workspace

Hola de nuevo. Yo soy Eduardo Arroyo y esta vez te voy a contar sobre El phishing fiscal supera la seguridad del correo electrónico de Google Workspace

El phishing fiscal supera la seguridad del correo electrónico de Google Workspace

Los estafadores intentan recopilar las credenciales de correo electrónico con una campaña de expertos que utiliza el servicio Typeform para alojar la página de phishing.

Una estafa de correo electrónico de impuestos W2 está circulando en los Estados Unidos utilizando Typeform, un software popular que se especializa en encuestas Online y creación de formularios. La campaña tiene como objetivo recopilar las credenciales de las cuentas de correo electrónico de las víctimas, dijeron los investigadores.

Según Armorblox, la campaña también pasa por alto los filtros de seguridad de correo electrónico nativos de Google Workspace en las víctimas encuestadas.

«El correo electrónico se hizo pasar por una comunicación automatizada de intercambio de archivos de OneDrive, informando a las víctimas que habían recibido un archivo», explicaron los investigadores en un análisis el martes. «El correo electrónico se envió desde una identificación de Hotmail y se tituló» RE: préstamo hipotecario «, seguido de un número de referencia y la fecha, lo que hace que parezca que el correo electrónico era parte de una conversación en curso para darle mayor legitimidad».

Los enlaces incluidos en los correos electrónicos pretenden conducir a un documento llamado «2020_TaxReturn & W2.pdf», encontraron los investigadores. En cambio, los enlaces llevan a los usuarios a una página de Typeform donde se les pide a las víctimas que ingresen sus credenciales de cuenta de correo electrónico antes de obtener acceso al archivo.

Sin embargo, ingresar la información de su cuenta de correo electrónico en el formulario solo devuelve mensajes de error. Después de varios intentos, la campaña muestra un mensaje que dice «el documento está protegido» y que no se pudo verificar la identidad del usuario.

«Es probable que los mensajes de error sean una cortina de humo para que los atacantes recopilen tantas combinaciones de ID de cuenta y contraseña como víctimas desprevenidas que estén dispuestas a ingresar en un intento de forzar su camino para obtener acceso a W2», según Armorblox. «En realidad, no hay una olla de oro W2 al final de este malvado arco iris».

Los investigadores dijeron que uno de los aspectos más importantes de la campaña es su capacidad para eludir las defensas del correo electrónico, incluida la seguridad de correo electrónico nativa de Google Workspace.

Una de las formas en que lo hace es enviar correos electrónicos desde un dominio de Hotmail recién creado. Esto tiene el efecto de ayudar a los correos electrónicos a obtener verificaciones de autenticación de correo electrónico como DMARC, DKIM y SPF, que buscan direcciones de correo electrónico falsificadas, entre otras cosas.

«Los atacantes a menudo envían correos electrónicos desde las ID de Gmail, Yahoo y Hotmail recién creadas para evitar los filtros y bloquear las listas que bloquean los dominios conocidos de baja reputación», explicaron los investigadores de Armorblox.

Además, el uso de Typeform para alojar la página de phishing significa que los filtros no registrarán enlaces tan maliciosos como esta es una aplicación confiable. Se han observado otros ataques de phishing utilizando Box, Google Firebase, Google Forms y Webflow de manera similar.

«Los servicios gratuitos Online como Typeform nos facilitan la vida, pero desafortunadamente también reducen la capacidad de los ciberdelincuentes para lanzar con éxito ataques de phishing», dijeron los investigadores.

Según el análisis, la campaña también utilizó una variedad de técnicas de ingeniería social para pasar las pruebas oculares de usuarios finales desprevenidos.

“El título, el contenido y el contexto del correo electrónico tenían como objetivo inducir una sensación de miedo y urgencia en las víctimas. Utilizando las ansiedades de impuestos y fechas límite que acosan a la mayoría de nosotros, los atacantes esperan que las víctimas hagan clic antes de pensar «, explicaron los investigadores.

Agregaron: «El correo electrónico incluye un enlace que dice» Acerca de los mensajes protegidos de Office 365 «que conduce a una página real alojada por Microsoft con información de seguridad. Los atacantes a menudo incluyen tales significantes en los correos electrónicos para adormecer a las víctimas con una falsa sensación de seguridad (no juego de palabras intencionado) «.

Finalmente, la campaña replica los flujos de trabajo existentes pretendiendo ser mensajes de intercambio de archivos automatizados desde OneDrive.

«Recibimos toneladas de correos electrónicos como este todos los días que nos dicen que alguien ha compartido archivos con nosotros, alguien ha respondido a nuestro mensaje, alguien ha comentado un documento, etc.», según Armorblox. «Cuando vemos correos electrónicos que se parecen (a primera vista) a los flujos de trabajo de correo electrónico conocidos, nuestro cerebro tiende a emplear Pensamiento sistémico 1 y actuar con rapidez. «

«Los empleados siguen enamorándose de estas estafas porque los correos electrónicos parecen tan auténticos y es difícil saber si son reales», dijo a Threatpost Joseph Carson, científico jefe de seguridad de Thycotic.

Por lo tanto, una primera línea de defensa es desarrollar una mejor higiene de la ciberseguridad educando a los empleados sobre las formas de detectar las estafas por correo electrónico, señaló.

«Si llega un correo electrónico a su bandeja de entrada, vaya al sitio web y llame al número para verificar si es genuino y no llame al número si se proporciona dentro del correo electrónico ya que, muy probablemente, también sea falso», aconsejó. «Verifique la dirección del remitente del correo electrónico y no el nombre para mostrar. Verifique el correo electrónico para ver si hay errores de ortografía. Verifique las direcciones de hipervínculo colocándose sobre ellas para ver a dónde lo envían. Sin embargo, no haga clic en los vínculos. También verifique su información personal para verificar su precisión. Estos sencillos consejos ayudarán a los empleados a evitar una posible pesadilla de ciberseguridad para su organización «.

Hank Schless, gerente senior de soluciones de seguridad de Lookout, también advierte a las organizaciones que no se olviden de los dispositivos móviles.

«Los equipos de seguridad deben proteger a los empleados en todos los puntos finales para asegurarse de que no sean víctimas de un ataque de phishing o descarguen un archivo adjunto malicioso que comprometa a la organización», dijo a Threatpost. «Este tipo de estafas son más efectivas en dispositivos móviles y los atacantes lo saben. Por esta razón, están creando campañas de phishing dirigidas para aprovechar la interfaz móvil que dificulta la detección de un mensaje malicioso».

Y finalmente, según Armorblox, la gente no debería asumir que los servicios legítimos equivalen a la comunicación legítima.

«Este consejo también es difícil de implementar en la práctica, dada la naturaleza abarrotada de nuestras bandejas de entrada», según el análisis. «Sin embargo, trate de ser escéptico de forma predeterminada en cualquier formulario que solicite sus credenciales de inicio de sesión, incluso si el formulario se creó utilizando un servicio legítimo como Google o Typeform. Estos servicios están tan fácilmente disponibles para los ciberdelincuentes como para el resto de nosotros «.

.

Recuerda compartir en en tu Twitter y Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte