Servicios de Google armados para eludir la seguridad de phishing, campañas BEC - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Servicios de Google armados para eludir la seguridad de phishing, campañas BEC

Hola y mil gracias por leerme. Soy Eduardo Arroyo y en esta ocasión te voy a hablar sobre Servicios de Google armados para eludir la seguridad de phishing, campañas BEC

Servicios de Google armados para eludir la seguridad de phishing, campañas BEC

Atacantes que aprovechan una variedad de servicios de Google, incluidos Formularios, Firebase, Docs y más, para promover campañas de phishing y BEC.

Un aumento en los recientes ataques de phishing y de compromiso de correo electrónico empresarial (BEC) se debe a que los delincuentes están aprendiendo cómo hacerlo. aprovechar los servicios de Google, según una investigación de Armorblox.

El distanciamiento social ha llevado a empresas enteras a los brazos del ecosistema de Google en busca de una forma fácil y confiable de digitalizar la oficina tradicional. El cofundador y jefe de ingeniería de Armorblox, Arjun Sambamoorthy, acaba de publicar un informe que detalla cómo ahora los servicios omnipresentes como Google Forms, Google Docs y otros están siendo utilizados por actores maliciosos para dar a sus intentos de suplantación un falso brillo legitimidad, tanto para los filtros de seguridad como para las víctimas.

«Las API abiertas, las integraciones extensibles y las herramientas fáciles de desarrollar significan que oficinas virtuales completas, con flujos de trabajo virtuales, pueden existir en un ecosistema de Google», escribió Sambamoorthy. «Desafortunadamente, los ciberdelincuentes explotan la naturaleza abierta y democratizada de Google para defraudar a individuos y organizaciones de dinero y datos confidenciales».

El informe proporciona varios ejemplos específicos de cómo los servicios de Google ayudan a los atacantes con sus esquemas.

Una campaña utilizó un formulario de Google y un logotipo de American Express para intentar que las víctimas ingresaran información confidencial.

«Alojar la página de phishing en un formulario de Google ayuda al correo electrónico inicial a evitar cualquier filtro de seguridad que bloquee los enlaces o dominios maliciosos conocidos», según Sambamoorthy. «Debido a que el dominio de Google es intrínsecamente confiable y los formularios de Google se utilizan por una variedad de razones legítimas, ningún filtro de seguridad de correo electrónico bloquearía de manera realista este enlace el ‘día cero'».

La estafa de American Express. Fuente: Armorblox.

Otro ataque descubierto por Sambamoorthy utilizó una carta ficticia de una viuda sin hijos que estaba buscando a alguien a quien legar su fortuna. El enlace del correo electrónico conduce a un formulario de Google con un campo de pregunta en blanco. En este caso, el módulo de Google ayuda a los atacantes con su estrategia de ingeniería social, según el informe.

«Mucha gente sentirá que el correo electrónico es sospechoso después de revisar el contenido y visitar este formulario ficticio», continuó. “Pero algunas personas enviarán la única opción permitida por el formulario o enviarán una respuesta a la dirección proporcionada en el correo electrónico. Esto permite a los atacantes seleccionar a los destinatarios de correo electrónico más ingenuos y emocionalmente susceptibles, que serán los objetivos principales de los correos electrónicos de seguimiento de viudas sin hijos.

La plataforma móvil Firebase de Google se usó en otro esquema para alojar una página de phishing, lo que le permitió colarse a través de filtros de correo electrónico por la misma razón, porque Firebase es confiable.

En una estafa de desviación de pago fraudulenta basada en los servicios de Google que Sambamoorthy destacó, un enlace de correo electrónico fraudulento envió a los destinatarios a un archivo de Google Doc para «confirmar» los detalles del pago.

Y en otro ataque, se envió un correo electrónico a las víctimas, presumiblemente por su equipo de TI, pidiéndoles que revisaran un mensaje seguro en Microsoft Teams de un colega. El enlace conducía a una página web con un portal de inicio de sesión de Office 365 falso alojado en Google Sites.

«La malicia de la intención de la página se escondía detrás de la legitimidad del dominio de la página», agregó Sambamoorthy. «Esta página pasaría la mayoría de las pruebas oculares en las mañanas ocupadas (es decir, cuando se envía el correo electrónico), y la gente asume felizmente que es una página legítima de Microsoft».

La capacidad de los malos de aprovechar los servicios de Google para sus negocios está comenzando a emerger como una tendencia en toda regla.

A principios de noviembre, los investigadores descubrieron 265 formularios de Google que se hacen pasar por marcas como AT&T, Citibank y Capitol One, e incluso agencias gubernamentales como el Servicio de Impuestos Internos y el gobierno mexicano utilizados en ataques de phishing.

Los módulos se eliminaron de Google después de que los investigadores de Zimperium los informaran.

El phishing de los equipos. Fuente: Armorblox.

Solo unos días antes, se descubrió que los estafadores estaban usando una colaboración legítima de Google Drive para engañar a las víctimas para que hicieran clic en enlaces maliciosos.

Incluso Google Calendar ha sido objeto de abusos en el pasado en un sofisticado ciberataque dirigido a los usuarios de dispositivos móviles de Gmail a través de notificaciones de reuniones fraudulentas y no solicitadas.

Por su parte, Google señala que la empresa está tomando todas las medidas para mantener a los malos fuera de sus plataformas.

«Estamos profundamente comprometidos a proteger a nuestros usuarios del abuso de phishing a través de nuestros servicios y trabajamos continuamente en medidas adicionales para bloquear este tipo de ataques a medida que evolucionan los métodos», dijo un portavoz de Google a Threatpost en un correo electrónico.

El comunicado agregó que la política de abuso de Google prohíbe el phishing y enfatizó que la compañía es agresiva en su lucha contra el abuso.

“Usamos medidas proactivas para prevenir este abuso y los usuarios pueden hacerlo Reportar abuso en nuestras plataformas «, afirma el comunicado.» Google cuenta con medidas efectivas para detectar y bloquear los abusos de phishing en nuestros servicios «.

Sambamoorthy dijo a Threatpost que la responsabilidad de la seguridad no recae solo en Google, y que las organizaciones no deben depender únicamente de las protecciones de seguridad de Google para sus datos confidenciales.

«Google se enfrenta a un dilema fundamental porque lo que hace que sus servicios sean gratuitos y fáciles de usar también reduce la capacidad de los ciberdelincuentes para crear y lanzar ataques de phishing eficaces», dijo. «Es importante recordar que Google no es una empresa de seguridad de correo electrónico; su responsabilidad principal es proporcionar un servicio de correo electrónico eficaz y funcional».

Sambamoorthy dijo que la autenticación de dos factores (2FA) y el mantenimiento de contraseñas seguras con un administrador de contraseñas son las mejores formas para que los usuarios se protejan. Además de estas mejores prácticas, el informe recomendó «pruebas oculares rigurosas» de los correos electrónicos de «dinero y datos».

Las organizaciones, dijo, deben establecer políticas de seguridad básicas y crear mecanismos que puedan adaptarse a las amenazas nuevas y en evolución.

«La seguridad tiene un componente de ‘proceso’ importante, por lo que las organizaciones deben asegurarse de tener los controles, controles y equilibrios correctos para proteger a los usuarios y los datos», dijo Sambamoorthy. “Dado que estos patrones de ataque están en constante evolución, las organizaciones deben invertir en tecnologías de seguridad con mecanismos de retroalimentación integrados. Estos mecanismos deberían aprender de los nuevos ataques y perfeccionar los algoritmos de detección con el tiempo «.

.

Deberías compartir en tus redes sociales para que tus colegas opinen

??? ? ? ???

Comparte