Enemigo en ambientes protegidos por: Google, Outlook 365, Punto de prueba
Por Sabi Kiss, Centro de defensa contra phishing de Cofense
Los ataques de phishing son cada vez más sofisticados y la última logística de ataque dirigida a los empleados destaca esta cambio. En esta publicación de blog, analizaremos un intento de phishing nuevo que se hace suceder por el unidad de Fortuna Humanos (RRHH) de una empresa y brindaremos información detallada para ayudarlo a rebuscar y evitar ser víctima de tales estafas.
Este correo electrónico de phishing está diseñado para parecerse a una comunicación oficial del unidad de bienes humanos de su empresa. Llega a su bandeja de entrada con una tilde de asunto que pira la atención y lo insta a revisar el manual del empleado.
Figura 1: Cuerpo del correo electrónico
El diseño y el idioma del correo electrónico mejoran aún más su percepción de legalidad. Comienza con un saludo formal y presenta un mensaje en un formato estructurado pintoresco de las comunicaciones corporativas. El idioma utilizado es profesional, claro y directo, imitando el tono y estilo que los empleados esperarían de un unidad de bienes humanos.
La tilde de asunto, “Manual del empleado modificado para todos los empleados: reconozca amablemente”, pira inmediatamente la atención y crea una sensación de aprieto. Esta táctica está diseñada para provocar una energía rápida por parte de los destinatarios, incitándolos a destapar el correo electrónico e interactuar con su contenido sin dudarlo.
Figura 2: Página de phishing
El cuerpo del correo electrónico incluye idioma formal y directivas típicas de las comunicaciones corporativas. Comienza con un saludo cortés y rápidamente pasa a una directiva para revisar un manual del empleado revisado. El correo electrónico enfatiza la importancia del cumplimiento en una época frontera específica, generalmente al final del día, fomentando un sentido de aprieto e importancia entre los destinatarios.
El objetivo principal de este correo electrónico de phishing es doble: atraer a los destinatarios para que hagan clic en el hipervínculo incrustado y engañarlos para que ingresen sus credenciales en una página de inicio de sesión falsa. Al parecer provenir de una fuente confiable (unidad de bienes humanos), el correo electrónico aprovecha la autoridad y la aprieto para persuadir a los destinatarios a tomar medidas inmediatas sin cuestionar la autenticidad de la solicitud.
El actor de la amenaza emplea tácticas psicológicas, como el miedo al incumplimiento de las políticas de la empresa y la promesa de cambios significativos descritos en el manual, para manipular a los destinatarios para que hagan clic en el enlace solapado. Esta manipulación psicológica tiene como objetivo anular el incredulidad y la precaución naturales de los destinatarios al manejar correos electrónicos no solicitados.
El correo electrónico contiene un hipervínculo con el título “SECCIÓN DE CUMPLIMIENTO DE RRHH PARA EL MANUAL DEL EMPLEADO REVISADO”. Al hacer clic en este enlace, accederá a una página que imita un sitio de alojamiento de documentos genuino. Aquí se le presenta un rama “CONTINUAR” para continuar.
Al hacer clic en el rama “CONTINUAR”, se le redirigirá a una página que parece tener la marca Microsoft. Aquí es donde el ataque de phishing se vuelve más sofisticado. La página solicita su nombre de heredero de Microsoft y parece muy convincente.
La logística del actor de amenazas es ganarse su confianza presentando un sitio web de apariencia legítima donde se le solicita que inicie sesión con las credenciales de Microsoft de su empresa. Aquí hay un desglose detallado de lo que sucederá a continuación:
- Captura de Credenciales: Cuando ingresa la dirección de correo electrónico de su empresa y presiona Próximo, se le redirige a lo que parece la página de inicio de sesión de Microsoft Office 365 de su empresa.
- Mensaje de error: Luego de ingresar su nombre de heredero y potencialmente su contraseña, recibirá un mensaje de error que indica: “Hubo un error interno inesperado. Inténtalo de nuevo.” Este mensaje es una artimaña.
- Redirección a la página de inicio de sesión legítima: Luego se le redirigirá a la página de inicio de sesión SSO/Okta de su empresa existente y la víctima probablemente ni siquiera se dará cuenta de que la URL cambió. Mientras tanto, el actor de amenazas capturó su nombre de heredero y contraseña del intento de inicio de sesión.
Indicadores de compromiso | IP |
hXXps://hresourcecinfo[.]henryschein[.]es/?o4i8h=ZR | 104[.]236[.]9[.]231 |
hXXps://libro-de-trabajo-revisado[.]pila de formularios[.]es/forms/staff_handbook_ynk | 52[.]85[.]132[.]103
52[.]85[.]132[.]32 52[.]85[.]132[.]40 52[.]85[.]132[.]118 |
Esta campaña de phishing ejemplifica la creciente sofisticación de las amenazas cibernéticas que explotan la confianza y la aprieto en el interior de los entornos corporativos. Al imitar las comunicaciones legítimas y emplear la manipulación psicológica, los actores de amenazas intentan engañar a los empleados para que divulguen información confidencial. La vigilancia y las medidas sólidas de ciberseguridad, incluida la capacitación en concientización sobre la seguridad y las soluciones avanzadas de seguridad del correo electrónico, son cruciales para mitigar dichos riesgos y proteger a las organizaciones de ser víctimas de ataques de phishing. Robustecer las defensas contra el phishing requiere un enfoque de múltiples capas que combine soluciones tecnológicas con empleados capacitados y vigilantes como primera tilde de defensa.
Todas las marcas comerciales de terceros a las que Cofense hace relato, ya sea en forma de logotipo, nombre o producto, o de otro modo, siguen siendo propiedad de sus respectivos titulares, y el uso de estas marcas comerciales de ninguna forma indica ninguna relación entre Cofense y los titulares de las marcas comerciales. Cualquier observación contenida en este blog con respecto a la elusión de protecciones de puntos finales se apoyo en observaciones en un momento determinado basado en un conjunto específico de configuraciones del sistema. Las actualizaciones posteriores o diferentes configuraciones pueden ser efectivas para detener estas u otras amenazas similares. El rendimiento pasado no es indicativo de resultados futuros.
Los nombres y logotipos de Cofense® y PhishMe®, así como cualquier otro nombre o logotipo de producto o servicio de Cofense que se muestra en este blog son marcas comerciales registradas o marcas comerciales de Cofense Inc.