Cómo las estafas de phishing están utilizando Office 365 para dirigirse a las empresas de seguros

El correo electrónico suele ser la primera opción para un ciberdelincuente a la hora de lanzarse porque es muy fácil de explotar. A diferencia de los ataques de fuerza bruta, que requieren una gran capacidad de procesamiento, o de los métodos más sofisticados que exigen un alto nivel de habilidad, la suplantación de dominios puede ser tan fácil como escribir un correo electrónico haciéndose pasar por otra persona. En muchos casos, ese "otro" es una importante plataforma de servicios de software en la que la gente confía para hacer su trabajo.

Eso es lo que ocurrió entre el 15 y el 30 de abril de 2020, cuando nuestros analistas de seguridad de PowerDMARC descubrieron una nueva oleada de correos electrónicos de phishing dirigidos a las principales empresas de seguros de Oriente Medio. Este ataque ha sido sólo uno entre muchos otros en el reciente aumento de casos de phishing y spoofing durante la crisis de Covid-19. Ya en febrero de 2020, otra gran estafa de phishing llegó a hacerse pasar por la Organización Mundial de la Salud, enviando correos electrónicos a miles de personas pidiendo donaciones para la ayuda del coronavirus.

En esta reciente serie de incidentes, los usuarios del servicio Office 365 de Microsoft recibieron lo que parecían ser correos electrónicos de actualización rutinarios sobre el estado de sus cuentas de usuario. Estos correos electrónicos procedían de los propios dominios de sus organizaciones, solicitando a los usuarios que restablecieran sus contraseñas o que hicieran clic en los enlaces para ver las notificaciones pendientes.

Hemos recopilado una lista de algunos de los títulos de correo electrónico que observamos que se utilizan:

  • Actividad de inicio de sesión inusual en la cuenta de Microsoft
  • Tiene (3) mensajes pendientes de entrega en su portal de correo electrónico [email protected]*.
  • [email protected] Tiene mensajes pendientes de Microsoft Office UNSYNC
  • Notificación de resumen de reactivación para [email protected]

*Detalles de la cuenta cambiados para la privacidad de los usuarios

También puede ver una muestra de un encabezado de correo utilizado en un correo electrónico falsificado enviado a una empresa de seguros:

Recibido: de [ip_maliciosa] (helo= dominio_malicioso)

id 1jK7RC-000uju-6x

para [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recibido: de [xxxx] (port=58502 helo=xxxxx)

por dominio_malicioso con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipo de cuentas de Microsoft" 

A: [email protected]

Asunto: Notificación de Microsoft Office para [email protected] el 4/1/2020 23:46

Fecha: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Versión MIME: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Este encabezado se ha añadido para rastrear el abuso, por favor, inclúyalo con cualquier informe de abuso

X-AntiAbuse: Nombre de host principal - dominio_malicioso

X-AntiAbuse: Dominio original - dominio.es

X-AntiAbuse: UID/GID del emisor/llamante - [47 12] / [47 12]

X-AntiAbuse: Dirección del remitente Dominio - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_malicioso

X-Authenticated-Sender: dominio_malicioso: [email protected]_malicioso

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido) client-ip= dirección_ip_maliciosa ; envelope-from=[email protected]; helo=dominio_malicioso;

X-SPF-Resultado: el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido

X-Sender-Warning: Fallo en la búsqueda inversa de DNS para dirección_ip_maliciosa (fallido)

X-DKIM-Status: ninguno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malicioso / dominio_malicioso / / por defecto

 

Nuestro Centro de Operaciones de Seguridad rastreó los enlaces de correo electrónico a URLs de phishing dirigidas a usuarios de Microsoft Office 365. Las URL redirigían a sitios comprometidos en diferentes lugares del mundo.

Simplemente mirando los títulos de los correos electrónicos, sería imposible decir que fueron enviados por alguien que suplantó el dominio de su organización. Estamos acostumbrados a un flujo constante de mensajes de correo electrónico relacionados con el trabajo o la cuenta que nos piden que iniciemos sesión en varios servicios en línea, como Office 365. La suplantación de dominio se aprovecha de ello, haciendo que sus correos electrónicos falsos y maliciosos no se distingan de los auténticos. Prácticamente no hay forma de saber, sin un análisis exhaustivo del correo electrónico, si proviene de una fuente de confianza. Y con las docenas de correos electrónicos que llegan cada día, nadie tiene tiempo para examinar cuidadosamente cada uno de ellos. La única solución sería emplear un mecanismo de autenticación que comprobara todos los correos electrónicos enviados desde su dominio, y bloqueara sólo los que fueran enviados por alguien que lo hiciera sin autorización.

Ese mecanismo de autenticación se llama DMARC. Y como uno de los principales proveedores de soluciones de seguridad para el correo electrónico del mundo, en PowerDMARC nos hemos propuesto que comprenda la importancia de proteger el dominio de su organización. No sólo para usted, sino para todos los que confían y dependen de usted para entregar correos electrónicos seguros y fiables en su bandeja de entrada, en todo momento.

Puede leer sobre los riesgos de la suplantación de identidad aquí: https://powerdmarc.com/stop-email-spoofing/

Descubra cómo puede proteger su dominio de la suplantación de identidad y potenciar su marca aquí: https://powerdmarc.com/what-is-dmarc/

/por

Cómo los atacantes están utilizando el Coronavirus para estafarte

Mientras las organizaciones crean fondos benéficos en todo el mundo para luchar contra el Covid-19, se libra otro tipo de batalla en los conductos electrónicos de Internet. Miles de personas de todo el mundo han sido víctimas de la suplantación de identidad y de las estafas por correo electrónico del Covid-19 durante la pandemia de coronavirus. Cada vez es más frecuente ver cómo los ciberdelincuentes utilizan nombres de dominio reales de estas organizaciones en sus correos electrónicos para parecer legítimos.

En la más reciente estafa por coronavirus, un correo electrónico supuestamente de la Organización Mundial de la Salud (OMS) fue enviado a todo el mundo, solicitando donaciones para el Fondo de Respuesta Solidaria. La dirección del remitente era "[email protected]", donde "who.int" es el nombre de dominio real de la OMS. Se confirmó que el correo electrónico era una estafa de phishing, pero a primera vista todos los indicios apuntaban a que el remitente era auténtico. Después de todo, el dominio pertenecía a la verdadera OMS.

donar fondo de respuesta

Sin embargo, ésta ha sido sólo una de una serie creciente de estafas de phishing que utilizan correos electrónicos relacionados con el coronavirus para robar dinero e información sensible de las personas. Pero si el remitente utiliza un nombre de dominio real, ¿cómo podemos distinguir un correo electrónico legítimo de uno falso? ¿Por qué los ciberdelincuentes pueden emplear con tanta facilidad la suplantación de dominios de correo electrónico en una organización tan grande?

¿Y cómo se enteran entidades como la OMS de que alguien está utilizando su dominio para lanzar un ataque de phishing?

El correo electrónico es la herramienta de comunicación empresarial más utilizada en el mundo, pero es un protocolo completamente abierto. Por sí solo, hay muy poco para controlar quién envía qué correos electrónicos y desde qué dirección de correo electrónico. Esto se convierte en un gran problema cuando los atacantes se disfrazan de una marca de confianza o de una figura pública, pidiendo a la gente que les dé su dinero e información personal. De hecho, más del 90% de las filtraciones de datos de las empresas en los últimos años han implicado el phishing por correo electrónico de una forma u otra. Y la suplantación de dominios de correo electrónico es una de las principales causas.

En un esfuerzo por asegurar el correo electrónico, se desarrollaron protocolos como Sender Policy Framework (SPF) y Domain Keys Identified Mail (DKIM). SPF comprueba la dirección IP del remitente con una lista aprobada de direcciones IP, y DKIM utiliza una firma digital cifrada para proteger los correos electrónicos. Aunque ambos son eficaces por separado, tienen sus propios defectos. DMARC, desarrollado en 2012, es un protocolo que utiliza la autenticación SPF y DKIM para proteger el correo electrónico, y cuenta con un mecanismo que envía al propietario del dominio un informe cada vez que un correo electrónico no supera la validación DMARC.

Esto significa que el propietario del dominio es notificado cada vez que un correo electrónico es enviado por un tercero no autorizado. Y, lo que es más importante, puede indicar al receptor del correo electrónico cómo manejar el correo no autenticado: dejarlo pasar a la bandeja de entrada, ponerlo en cuarentena o rechazarlo directamente. En teoría, esto debería impedir que el correo malo inunde las bandejas de entrada de la gente y reducir el número de ataques de phishing a los que nos enfrentamos. ¿Y por qué no lo hace?

¿Puede DMARC evitar la falsificación de dominios y las estafas de correo electrónico Covid-19?

La autenticación del correo electrónico requiere que los dominios remitentes publiquen sus registros SPF, DKIM y DMARC en el DNS. Según un estudio, solo el 44,9% de los dominios del top 1 de Alexa tenían un registro SPF válido publicado en 2018, y tan solo el 5,1% tenía un registro DMARC válido. Y esto a pesar de que los dominios sin autenticación DMARC sufren de spoofing casi cuatro veces más que los dominios que están asegurados. Hay una falta de implementación seria de DMARC en el panorama empresarial, y no ha mejorado mucho con los años. Incluso organizaciones como UNICEF aún no han implementado DMARC en sus dominios, y tanto la Casa Blanca como el Departamento de Defensa de los Estados Unidos tienen una política de DMARC de p = ninguno, lo que significa que no se está aplicando.

Una encuesta realizada por expertos de Virginia Tech ha sacado a la luz algunas de las preocupaciones más graves citadas por las principales empresas y negocios que aún no han utilizado la autenticación DMARC:

  1. Dificultades de despliegue: La aplicación estricta de los protocolos de seguridad suele implicar un alto nivel de coordinación en las grandes instituciones, para el que a menudo no disponen de recursos. Además, muchas organizaciones no tienen mucho control sobre sus DNS, por lo que la publicación de registros DMARC se convierte en un reto aún mayor.
  2. Los beneficios no compensan los costes: La autenticación DMARC suele tener beneficios directos para el destinatario del correo electrónico y no para el propietario del dominio. La falta de una motivación seria para adoptar el nuevo protocolo ha hecho que muchas empresas no incorporen DMARC a sus sistemas.
  3. Riesgo de romper el sistema existente: La relativa novedad del DMARC lo hace más propenso a una implementación incorrecta, lo que conlleva el riesgo muy real de que los correos electrónicos legítimos no pasen. Las empresas que dependen de la circulación del correo electrónico no pueden permitirse el lujo de que esto ocurra, por lo que no se molestan en adoptar DMARC en absoluto.

Reconocer por qué necesitamos DMARC

Aunque las preocupaciones expresadas por las empresas en la encuesta tienen un mérito obvio, esto no hace que la implementación de DMARC sea menos imperativa para la seguridad del correo electrónico. Cuanto más tiempo sigan funcionando las empresas sin un dominio autenticado por DMARC, más nos expondremos al peligro real de los ataques de phishing por correo electrónico. Como nos han enseñado las estafas de suplantación de identidad por correo electrónico del coronavirus, nadie está a salvo de ser objeto de un ataque o de una suplantación de identidad. Piense en el DMARC como una vacuna: a medida que aumenta el número de personas que lo utilizan, las posibilidades de contraer una infección se reducen drásticamente.

Hay soluciones reales y viables para este problema que podrían superar las preocupaciones de la gente sobre la adopción de DMARC. He aquí algunas de ellas que podrían impulsar la implementación por un amplio margen:

  1. Reducción de la fricción en la implementación: El mayor obstáculo que se interpone en el camino de una empresa para adoptar el DMARC son los costes de implantación asociados. La economía está de capa caída y los recursos son escasos. Por ello, PowerDMARC, junto con nuestros socios industriales Global Cyber Alliance (GCA), se enorgullece de anunciar una oferta por tiempo limitado durante la pandemia de Covid-19: 3 meses de nuestro conjunto completo de aplicaciones, implementación de DMARC y servicios anti-spoofing, completamente gratis. Obtenga su solución DMARC en minutos y comience a monitorear sus correos electrónicos usando PowerDMARC ahora.
  2. Mejora de la utilidad percibida: Para que el DMARC tenga un impacto importante en la seguridad del correo electrónico, necesita una masa crítica de usuarios que publiquen sus registros SPF, DKIM y DMARC. Si se recompensa a los dominios autentificados por DMARC con un icono de "Confianza" o "Verificado" (al igual que con la promoción de HTTPS entre los sitios web), se puede incentivar a los propietarios de dominios para que consigan una reputación positiva para su dominio. Una vez que ésta alcance un determinado umbral, los dominios protegidos por DMARC serán considerados más favorablemente que los que no lo están.
  3. Despliegue simplificado: Al facilitar el despliegue y la configuración de los protocolos anti-spoofing, más dominios estarán de acuerdo con la autenticación DMARC. Una forma de hacerlo es permitir que el protocolo se ejecute en un "modo de supervisión", lo que permitiría a los administradores de correo electrónico evaluar el impacto que tiene en sus sistemas antes de proceder a una implantación completa.

Cada nuevo invento trae consigo nuevos retos. Cada nuevo reto nos obliga a encontrar una nueva forma de superarlo. El DMARC existe desde hace algunos años, pero el phishing existe desde hace mucho más tiempo. En las últimas semanas, la pandemia de Covid-19 no ha hecho más que darle una nueva cara. En PowerDMARC, estamos aquí para ayudarle a afrontar este nuevo reto. Regístrese aquí para obtener su analizador DMARC gratuito, de modo que mientras usted permanece en casa a salvo del coronavirus, su dominio está a salvo de la suplantación de identidad del correo electrónico.

/por