En una ola fresco de ataques de phishing, los ciberdelincuentes lograron eludir las puertas de enlace de correo electrónico seguras (SEG) tanto de Proofpoint como de Abnormal Security para entregar correos electrónicos que empleaban notificaciones artificiales y suplantación de identidad de Microsoft en las bandejas de entrada de las víctimas. Estos correos electrónicos contenían URL incrustadas que conducían a usuarios desprevenidos a páginas de inicio de sesión falsas diseñadas para resumir credenciales. Felizmente, los correos electrónicos fueron identificados, analizados y puestos en cuarentena por el Centro de Defensa contra Phishing (PDC) de Cofense en cuestión de minutos. Esto sirve como un claro recordatorio de la desarrollo de las tácticas de los ciberdelincuentes y de la condición de estrategias de defensa de varios niveles.
¿Cómo lo hicieron?
Estos atacantes utilizaron varias tácticas para esquivar las medidas de seguridad tradicionales:
- Suplantación de correo electrónico: Al imitar dominios confiables como Microsoft, los correos electrónicos de phishing parecían legítimos tanto para los usuarios finales como para la SEG.
- Dominios integrados legítimos: El dominio de la URL incrustada en el correo electrónico era aplicación[.]caja[.]com, que se considera ampliamente legal. Los actores de amenazas pudieron explotar el hecho de que muchos SEG y otras soluciones automáticamente consideran que no vale la pena escanear los dominios confiables y, por lo tanto, ignoran información importante.
- Compartir mensajes con temas de archivos: Algunos correos electrónicos fueron diseñados para aparecer como solicitudes de documentos urgentes o archivos compartidos, aprovechando servicios conocidos de intercambio de archivos como Dropbox para engañar a los usuarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos peligrosos.
- Notificaciones oportunas: Otra táctica implicó el uso de notificaciones falsas, como alertas de restablecimiento de contraseña o informes de actividad de cuenta, que supuestamente provienen de una entidad confiable. Estas notificaciones aprovecharon los miedos y la emergencia de los usuarios, incitándolos a hacer clic en enlaces maliciosos o proporcionar información confidencial apresuradamente.
Cómo lo captó Cofense
Si adecuadamente Proofpoint y Abnormal Security no detectaron estos correos electrónicos de phishing, el Centro de defensa contra phishing de Cofense detectó y detuvo el ataque. Así es cómo:
- Defensa contra el phishing dirigida por humanos: Cofense aprovecha la inteligencia humana derivada de nuestra red general de más de 35 millones de empleados capacitados para identificar amenazas. La capacitación en concientización sobre seguridad y los correos electrónicos de phishing reportados por los usuarios desempeñan un papel crucial en nuestra organización de defensa. Incorporar el factor humano ayuda a Cofense a detectar cosas como dominios “confiables” que los SEG pasan por detención.
- Exploración de amenazas automatizado: Los sistemas automatizados de Cofense analizan los correos electrónicos y URL reportados en tiempo verdadero, identificando patrones maliciosos y deteniendo los ataques en seco.
El éxito de Cofense en este proscenio subraya la importancia de un enfoque multifacético de la ciberseguridad. Mediante la integración de inteligencia humana, programas integrales de capacitación y una plataforma sólida de respuesta rápida, podemos identificar y equilibrar amenazas en tiempo verdadero. Mientras que Proofpoint y Abnormal SEG dependen en gran medida de la inteligencia sintético, Cofense vincula el factor humano, cerrando la brecha e identificando más riesgos en la seguridad de su correo electrónico.
Conclusión
El incidente sirve como un recordatorio fundamental para que los profesionales de la ciberseguridad reevalúen y mejoren continuamente sus estrategias de seguridad. Si adecuadamente las defensas automatizadas son indispensables, incorporar la inteligencia humana y proseguir una postura proactiva en materia de concienciación sobre las amenazas es igualmente importante.
¿Está interesado en obtener más información sobre cómo Cofense puede mejorar su postura en materia de ciberseguridad? Contáctenos ¡hoy!
Los nombres y logotipos de Cofense®, así como cualquier otro nombre o logotipo de producto o servicio de Cofense que se muestra aquí son marcas comerciales registradas o marcas comerciales de Cofense Inc.