Los ataques dirigidos a cuentas de usuario de software como servicio son uno de los problemas más frecuentes y de más rápido crecimiento para las empresas, incluso antes de que el COVID-19 forzara el rápido cambio al trabajo remoto.
Con muchas organizaciones aumentando el uso de software en la nube Microsoft ha dominado el espacio de productividad, con más de 250 millones de usuarios activos cada mes.
Office 365 es la base de almacenamiento e intercambio de datos corporativos, para muchas empresas, algo que lo convierte en un tesoro para los villanos.
La toma del control de la cuenta de un usuario de Office 365 es una forma para que un atacante pueda escalar privilegios dentro de la red de una organización para moverse lateralmente (acceder a otros sistemas dentro de la misma) o establecer persistencia y perpetrar todo tipo de fechorías.
Los ataques de phishing también pueden estar dirigidos a ejecutivos de alto nivel, a sus asistentes o a los departamentos financieros.
Si bien Microsoft continúa mejorando la seguridad de Office 365 hasta el punto de que incluso puede llegar a superar a los mejores proveedores de antivirus y antispam, los ciberdelincuentes también han evolucionado en consecuencia.
Incluso con la adopción de medidas de seguridad para proteger las cuentas de los usuarios, como por ejemplo la autenticación multifactor muchas organizaciones aún sufren violaciones de datos, lo que genera pérdidas financieras y de reputación.
Muchas aplicaciones de seguridad que cuentan con filtrado de correo electrónico pueden bloquear los mensajes que se utilizan en ataques de phishing.
Desafortunadamente, existen mensajes más difíciles de detectar, ya que todavía no están en las listas negras de los filtros de spam convencionales.
Mediante ataques de phishing que se hacen pasar por pantallas de inicio de sesión legítimas, recolectan credenciales de inicio de sesión de los usuarios que están trabajando en línea.
El mensaje llega con un asunto que indica que el usuario debe tomar medidas urgentes, por ejemplo actualizar las credenciales de su cuenta.
El mensaje incluye un enlace previamente manipulado para evitar los sistemas de filtrado de correo electrónico basados en reputación
- Después de obtener sus correos electrónicos, por ejemplo de LinkedIn, los piratas informáticos envían mensajes a miembros de una organización diciendo que su contraseña a caducado.
- Estos mensajes parecen provenir de una fuente legítima, como el personal de soporte de TI.
- Para poder continuar usando el mismo nombre de usuario y contraseña, piden a los objetivos que hagan clic en un enlace adjunto al correo electrónico.
- El enlace les redirige a una página de phishing, donde se les pide a las víctimas que ingresen sus credenciales de acceso actuales.
- Una vez que han obtenido las credenciales de las víctimas, las ponen a la venta en foros clandestinos.
También pueden lanzar ataques de phishing dirigido para robar información confidencial de la empresa, hacerse con los detalles de facturación, descargar información de los proveedores, filtrar los IDS de las cuentas de correo electrónico corporativas y venderlas a empresas de difusión de spam.
Otro tipo de estafa de phishing es la de archivos compartidos.
- El usuario recibe una notificación mediante un mensaje de correo electrónico, supuestamente procedente de un compañero de trabajo, en el que se le solicita urgentemente compartir un archivo que le hace falta para poder realizar una tarea.
- Al pulsar en el enlace adjunto, se le redirige a una página de inicio de sesión de OneDrive falsa donde el phisher recopila las credenciales de su cuenta.
También existen otras técnicas de ingeniería social.
- Falsos correos notificando que hay un correo de voz nuevo sin abrir.
- Correos que suplantan la identidad de Zoom.
- Envío de falsos mensajes de Microsoft Teams.
- Falsas notificaciones que indican que la bandeja de entrada de correo electrónico está llena.
El objetivo básicamente es el mismo: lograr que la víctima pulse en un enlace para robarle las credenciales de inicio de sesión.
Si estás trabajando en línea cuanto más informado estés, más probabilidades habrá de que detectes un ataque de phishing.
Cuando recibas un correo electrónico de una fuente desconocida, lee siempre el mensaje con atención antes de actuar.
Busca errores tipográficos, ortográficos y gramaticales, fíjate bien en el asunto, y si se dirigen a ti de forma genérica en vez de utilizar tu nombre.
Otro síntoma de que puede tratarse de una estafa es si el contenido del mensaje te pide que realices una acción de manera urgente o inmediata.
Además de esto, es recomendable colocar el cursor sobre los hipervínculos tanto en los correos electrónicos como en los sitios web antes de hacer clic en ellos para verificar la dirección de destino.
Y en caso de duda ponte en contacto con el departamento de TI de tu empresa mediante una llamada telefónica.
