Los correos electrónicos de phishing son una forma clave para que los ciberdelincuentes utilicen la ingeniería social para intentar implementar malware. Al hacerse pasar por empresas y productos conocidos, estos correos electrónicos intentan engañar a las personas para que los usen. Y cuanto más popular sea el producto o la marca, mayor será el número de víctimas potenciales. Con tantas personas y organizaciones que usan Microsoft Office 365, los phishers que usan esta marca pueden apuntar a un gran número de personas para robar las credenciales de sus cuentas, como lo describe Vade Secure.

VER: Ataques de phishing: una guía para profesionales de TI (PDF gratuito) (TechRepublic)

Más allá del propio Windows, Office 365 es uno de los productos más populares de Microsoft. Office 365 está disponible en ocho versiones diferentes para particulares y empresas. Incluye 17 productos diferentes, incluidos Word, Excel, PowerPoint, Outlook, OneNote, OneDrive, Skype y SharePoint. Y tiene alrededor de 200 millones de usuarios activos mensuales. Es por eso que Vade Secure nombró a Microsoft como la marca falsificada número 1 para todos los ataques de phishing en 2019.

En total, Vade Secure encontró 64 331 URL únicas de phishing que se hacían pasar por Microsoft, con un promedio de 176 URL únicas por día. PayPal ocupó el segundo lugar con 61,226 URL de phishing únicas.

Tipos de ataques de phishing

Los ataques de phishing que explotan Office 365 vienen en muchas variedades, según Adrien Gendre, arquitecto jefe de soluciones de Vade Secure. Estos incluyen notificaciones de cuarentena falsas, archivos adjuntos de correo de voz, avisos de cuenta suspendida y notificaciones de falla de pago. Vade ahora ve correos electrónicos de phishing que se hacen pasar por OneDrive y SharePoint. En algunas de estas campañas, los phishers envían notificaciones falsas de OneDrive o SharePoint que lo llevan directamente a una página de phishing. En otros, envían notificaciones legítimas de OneDrive o SharePoint que lo dirigen a un archivo real que contiene una URL de phishing.

Vade ha identificado y analizado varios ataques de phishing reales que aprovechan Office 365:

  • Ataques de phishing que explotan SharePoint y OneDrive. Muchos de estos correos electrónicos son fraudulentos, pero algunos se envían desde cuentas legítimas de Office 365, lo que hace que la detección sea casi imposible. El enlace de phishing no está en el correo electrónico sino en el archivo compartido.
  • Correos electrónicos basados ​​en reputación y firma. Estos filtros de correo electrónico buscan URL de suplantación de identidad conocidas, pero no pueden reconocer una nueva amenaza desconocida o una URL de suplantación de identidad que aún no se haya detectado ni incluido en la lista negra.
  • Páginas web de phishing similares. Con CSS, los piratas informáticos imitan tanto el diseño de las páginas de inicio de sesión de Office 365 como los elementos constitutivos de la página. En algunos casos, los piratas informáticos copian CSS de la página de inicio de sesión real de Office 365 y lo usan para crear su página de phishing.
  • Uso de imágenes o logotipos distorsionados para aumentar la autenticidad. Para eludir un filtro, los piratas informáticos distorsionan ligeramente la imagen y modifican el hash criptográfico, manipulando así el filtro de correo electrónico, que luego clasifica el correo electrónico como único.

"En general, la sofisticación de estos ataques está aumentando, y muchas páginas de phishing de Office 365 son prácticamente indistinguibles de las reales", dijo Gendre. "Para hacer esto, los piratas informáticos replican la página de inicio de sesión real de Office 365, extraen JavaScript y CSS directamente del sitio web legítimo e insertan su propio script para recopilar credenciales. Además, vemos páginas que redirigen a los usuarios a páginas legítimas de Microsoft una vez que envían sus credenciales. en un intento de convencerlos de que todo está bien.

¿Cuál es el propósito de los ataques de phishing?

El objetivo general de este tipo de ataques de phishing es robar las credenciales de Office 365, según Gendre. Si tienen éxito, los atacantes pueden vender la Lista global de direcciones de la organización u otra información de la empresa en la web oscura, implementar ransomware dentro de una organización y realizar ataques de compromiso de correo electrónico. A veces, el ciberdelincuente usa las credenciales robadas para monitorear silenciosamente el tráfico de correo electrónico y moverse lateralmente a través de la organización para planificar un ataque más grande y más orquestado.

Cómo protegerse del phishing

Para proteger su organización contra este tipo de ataques de phishing, Gendre recomienda una defensa que combine humanos y máquinas trabajando juntos. Su consejo específico incluye lo siguiente:

Usa la inteligencia artificial. Primero, debe aprovechar la inteligencia artificial (IA), específicamente el aprendizaje automático (ML), como una forma de predecir nuevos ataques de phishing. Los filtros tradicionales basados ​​en la reputación y las huellas digitales solo pueden identificar amenazas conocidas en función de las direcciones IP o URL incluidas en la lista negra. Las tecnologías basadas en IA pueden identificar amenazas sin firma conocida, incluidos los ataques de phishing altamente dinámicos que utilizan un correo electrónico y una URL únicos para cada destinatario. Esto ayuda a evitar que la mayor cantidad posible de correos electrónicos de phishing lleguen a sus usuarios.

Prepárate para lo inesperado. Ninguna solución bloqueará el 100 % de las amenazas, así que prepárese para lo inesperado. Un primer paso crítico es capacitar a los usuarios finales para que los empleados puedan detectar correos electrónicos de phishing. Esto requiere complementar la capacitación estructurada con capacitación contextual sobre la marcha adaptada a un mal comportamiento específico, como hacer clic en un enlace de phishing de Microsoft.

Capturar comentarios de los usuarios. Implemente un mecanismo de circuito cerrado que capture los comentarios de los usuarios finales para mejorar y fortalecer continuamente el motor de IA central. Estos comentarios también deberían desencadenar una reparación automática para que una amenaza informada por un usuario de una empresa pueda eliminarse automáticamente de las bandejas de entrada de los usuarios de otras empresas que reciben la misma amenaza.

Imagen: towfiqu ahamed, Getty Images/iStockphoto