Impulsar ataques de secuestro de correo electrónico de la universidad de phishing, malware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Impulsar ataques de secuestro de correo electrónico de la universidad de phishing, malware

Hola otra vez. Te habla Eduardo Arroyo y en esta ocasión vamos a hablar sobre Impulsar ataques de secuestro de correo electrónico de la universidad de phishing, malware

Impulsar ataques de secuestro de correo electrónico de la universidad de phishing, malware

Los atacantes están comprometiendo las cuentas de correo electrónico de universidades populares, incluidas Purdue y Oxford, para lanzar ataques que eluden DMARC y SPF.

Los ciberdelincuentes están secuestrando cuentas de correo electrónico legítimas de más de una docena de universidades, incluidas la Universidad de Purdue, la Universidad de Oxford en el Reino Unido y la Universidad de Stanford, y están utilizando las cuentas para evitar la detección y atraer a las víctimas a entregar sus credenciales de correo electrónico o instalar malware.

Dave Bagget, director ejecutivo y cofundador de INKY, le dijo a Threatpost que no hay indicios de cómo se comprometieron las cuentas, pero especuló que las víctimas se enamoraron de un esquema de recolección de credenciales. Bagget también dijo que los investigadores continuaron viendo correos electrónicos de phishing de cuentas universitarias reales este mes, por lo que algunas cuentas aún parecen estar comprometidas.

«Un estudiante nunca puede cambiar una contraseña asignada originalmente, ni puede compartirla con un amigo o amigos», dice. Investigadores de Inky jueves. “Un maestro puede darle a un estudiante una contraseña de cuenta para un proyecto en particular y nunca cambiarla una vez finalizado el proyecto. Los piratas informáticos que interceptan encuentran estas cuentas administradas de manera descuidada, las toman y cambian las contraseñas ellos mismos, bloqueando al propietario original «.

Los investigadores dijeron que en 2020 han descubierto hasta ahora una serie de campañas maliciosas que utilizan correos electrónicos comprometidos de al menos 13 universidades diferentes. La mayor cantidad de correos electrónicos de phishing detectados provino de cuentas comprometidas de la Universidad Purdue (2.068), robadas en las campañas de enero a septiembre.

Campañas de phishing observadas utilizando cuentas de correo electrónico universitarias secuestradas. Crédito: INKY

Detrás de la Universidad de Purdue estaban Oxford (se detectaron 714 correos electrónicos de phishing), Hunter College (709) y Worcester Polytechnic Institute (393).

Los actores de la amenaza utilizaron estos correos electrónicos legítimos para diferentes tipos de ataques. En uno, las víctimas recibieron un mensaje de una cuenta de la Universidad de Stanford que pretendía ser un «mensaje del sistema» de Microsoft, que informaba a los usuarios sobre el estado de algunos mensajes en cuarentena. El correo electrónico ofrecía varios enlaces para ver los mensajes en cuarentena que, al hacer clic, conducían a un sitio de recopilación de credenciales de Microsoft Outlook o iniciaban una infección de código malicioso. Una simple señal de alerta aquí es que la dirección de correo electrónico del remitente es una cuenta universitaria legítima, pero el correo electrónico pretende provenir de Microsoft, dijeron los investigadores.

Ejemplo de un ataque de phishing. Crédito: INKY

Sin embargo, lo que les da a los ciberdelincuentes una ventaja en este incidente es que el encabezado del correo electrónico confirma que este correo electrónico de phishing proviene de los servidores de la Universidad de Stanford, lo que permite al remitente pasar el filtro del Marco de políticas del remitente (SPF). ) para dominios universitarios, dijeron los investigadores. SPF es un método de autenticación de correo electrónico que tiene como objetivo evitar la falsificación de la dirección del remitente.

Los atacantes pudieron eludir el SPF porque la organización comercial de la víctima tiene una política que acepta correos electrónicos de los servidores de Stanford, según los investigadores.

«Los resultados del motor de búsqueda también confirman que la dirección que envía este correo electrónico de suplantación de identidad coincide con un perfil universitario real (por ejemplo, de un estudiante, miembro de la facultad, personal o publicación de investigación) «dijeron los investigadores.

Los atacantes también utilizan varios otros señuelos en su uso de correos electrónicos universitarios comprometidos para apuntar a las víctimas. Por ejemplo, los investigadores desenterraron correos electrónicos de cuentas legítimas de Oxford y Purdue que les decían a las víctimas que tenían una llamada perdida y se conectaban a un archivo adjunto que supuestamente era el correo de voz.

En otro incidente, los investigadores afirmaron que Oxford tenía un servidor de Protocolo simple de transferencia de correo (SMTP) configurado incorrectamente; un protocolo de comunicación para la transmisión de correo electrónico. Afirmaron que un mal actor pudo abusar de esto y engañarlo para que generara automáticamente direcciones de correo electrónico, desde las que luego se enviaban correos electrónicos de phishing, dijeron los investigadores.

Ejemplo de un ataque de phishing. Crédito: INKY

«Utilizando los servidores de Oxford como un retransmisor de correo abierto, un mal actor pudo enviar correos electrónicos de phishing que pasaban tanto SPF como DMARC para la Universidad de Oxford», dijeron los investigadores. «Para evitar este tipo de abuso, los servidores SMTP deben configurarse para no aceptar y reenviar correos electrónicos de direcciones IP no locales a buzones de correo no locales de usuarios autorizados y no autenticados».

Threatpost se ha puesto en contacto con Oxford para obtener más comentarios sobre este incidente.

Otras amenazas han plagado al sector de la educación superior, incluidas las recientes campañas de «bibliotecario silencioso» que se han dirigido activamente a estudiantes universitarios y profesores a través de campañas de spear-phishing. El grupo de amenaza epónimo detrás de los ataques (también conocido como TA407 y Cobalt Dickens), que opera desde Irán, ha estado al acecho desde el comienzo del año escolar 2019, lanzando correos electrónicos de bajo volumen, altamente dirigidos y diseñados socialmente. que finalmente engaña a las víctimas para que proporcionen sus credenciales de inicio de sesión.

Bagget señaló que con la proliferación de la pandemia COVID-19 que ha alejado muchas aulas y universidades, los ciberdelincuentes también han intensificado su juego con ataques cibernéticos contra la industria de alto nivel.

«Comenzamos a detectar este tipo de ataques en el verano de 2019 y la cantidad de cuentas secuestradas aumentó durante los bloqueos de la pandemia», dijo Bagget. «El número de escuelas distintas seleccionadas también aumentó durante la pandemia».

.

No te olvides compartir en una historia de tu Instagram para que tus amigos lo disfruten

??? ? ? ???

Comparte