Enfrentado en ambientes protegidos por: microsoft
Por Andrew Mann, Centro de defensa contra phishing de Cofense
Hoy en día, todo el mundo tiene algún tipo de red social, ya sea Instagram, X, YouTube o Facebook. Es una modo increíble de comunicarse y mantenerse conectado con familiares y amigos, pero al mismo tiempo, puede resultar aterrador cuando sus redes sociales son víctimas de un ataque cibernético.
Este tipo de campañas ilustran cómo las puertas de enlace de correo electrónico seguras (SEG), o cualquier tipo de sistema automatizado, pueden no advertir cosas que sólo el ojo entrenado puede advertir. Los analistas de amenazas aquí en el Centro de Defensa contra el Phishing (PDC) de Cofense están capacitados y equipados adecuadamente para detectar estas campañas de phishing que han aparecido en entornos que utilizan SEG.
Aquí en el PDC, hemos pasado numerosos sitios web de phishing en redes sociales, desde X, Instagram, Telegram, Snapchat y Facebook. Estos ataques pueden tener como objetivo compilar su nombre de favorecido y contraseña enviándole un correo electrónico que diga que “es necesario refrescar su contraseña” o “su cuenta será eliminada”. ¡Haga clic aquí para evitar el despido!
Estos phishing ya pueden ser muy probables y tentadores para el ojo inexperto, e incluso con eso, el actor de amenazas hizo un trabajo encomiable al adaptar este phishing para que pareciera un correo electrónico oficial de suspensión de cuenta de Facebook/Meta. Pudieron hacer esto en parte porque utilizaron el servicio Business Manager de Meta, que ayudó a que el correo electrónico pareciera más auténtico. Admitir correos electrónicos como estos puede dar miedo cuando no sabes si tu cuenta está bajo fuego. Siempre es una buena praxis suministrar la mente tranquila y no apresurarse a hacer clic en cualquier medio ambiente del correo electrónico si no está seguro.
Figura 1: Cuerpo del correo electrónico
En la imagen de hacia lo alto puede ver que el formato del cuerpo está proporcionadamente hecho, la gramática es correcta y profesional e incluyeron un número de caso único para esta solicitud de cuenta específica. Igualmente incluyeron alguna auxilio informativa para ayudar a gobernar al favorecido en torno a la solicitud realizada.
Un indicador de actividad sospechosa es que comenzaron el correo electrónico como “Hola, se requiere entusiasmo inmediata”. El actor de amenazas utilizó una táctica simple de miedo/emergencia para hacer pensar al favorecido que si no sigue estos pasos de inmediato, su cuenta será eliminada. Una táctica muy popular para usar entre este tipo de correos electrónicos de phishing en redes sociales.
Asiduamente, el gran mando zarco nos llevaría al sitio web de phishing si hacemos clic en él. Sin retención, en este caso no es así, lo cual es una de las razones por las que se alcahuetería de un correo electrónico de phishing único. En su ocasión, proporcionaron la URL de phishing mencionado en la parte de la serie de correo electrónico que realizó la solicitud del administrador comercial.
Figura 2: Página de phishing
Luego de ir al enlace mencionado, el actor de amenazas ingresa su correo electrónico personalizado y lo redirige al sitio de phishing. Es una página web de Facebook/Meta phishing muy típico, e incluso pusieron una nota en la parte superior que dice “su cuenta ha violado nuestros términos de servicio y pautas de la comunidad”.
Un postrer recordatorio amenazador para convencer al favorecido de que proporcione su nombre de favorecido y contraseña. Una perspectiva ingenua podría acaecer por parada las implicaciones obvias de que este sitio web es infiel. Algunos consejos comunes son que si fuera Facebook, la dirección URL sería un dominio Meta/Facebook auténtico, como facebook.[.]com y no facebook[.]1006615[.]página. El actor de amenazas intentó hacer un buen intento al incluir al menos el nombre de Facebook en el subdominio.
Tenga siempre cuidado con las amenazas que pueden representar los ciberdelincuentes. Buscan todo lo que se pueda reprochar a un favorecido. Desde información de polímero de crédito, números de Seguro Social o sus credenciales de inicio de sesión, usarán todo lo que puedan no solo para alcanzar a su cuenta de redes sociales sino a cualquier cuenta en columna que pueda tener.
Todas las marcas comerciales de terceros a las que Cofense hace relato, ya sea en forma de logotipo, nombre o producto, o de otro modo, siguen siendo propiedad de sus respectivos titulares, y el uso de estas marcas comerciales de ninguna modo indica ninguna relación entre Cofense y los titulares de las marcas comerciales. Cualquier observación contenida en este blog con respecto a la elusión de protecciones de puntos finales se apoyo en observaciones en un momento determinado basado en un conjunto específico de configuraciones del sistema. Las actualizaciones posteriores o diferentes configuraciones pueden ser efectivas para detener estas u otras amenazas similares. El rendimiento pasado no es indicativo de resultados futuros.
Los nombres y logotipos de Cofense® y PhishMe®, así como cualquier otro nombre o logotipo de producto o servicio de Cofense que se muestra en este blog son marcas comerciales registradas o marcas comerciales de Cofense Inc.