• Cómo las estafas de phishing están utilizando Office 365 para dirigirse a las empresas de seguros

Cómo las estafas de phishing están utilizando Office 365 para dirigirse a las empresas de seguros

Noticias

Nuestros analistas de seguridad de PowerDMARC descubrieron una nueva oleada de correos electrónicos de phishing dirigidos a importantes empresas de seguros de Oriente Próximo.

por Ahona Rudra

Última actualización:
4 4 minutos de lectura
Cómo las estafas de phishing están utilizando Office 365 para dirigirse a las empresas de seguros
Índice-

El correo electrónico suele ser la primera opción para un ciberdelincuente a la hora de lanzarse porque es muy fácil de explotar. A diferencia de los ataques de fuerza bruta, que requieren una gran capacidad de procesamiento, o de métodos más sofisticados que exigen un alto nivel de habilidad, la suplantación de dominios puede ser tan fácil como escribir un correo electrónico haciéndose pasar por otra persona. En muchos casos, ese "alguien más" es una importante plataforma de servicios de software en la que la gente confía para hacer su trabajo.

Eso es lo que ocurrió entre el 15 y el 30 de abril de 2020, cuando nuestros analistas de seguridad de PowerDMARC descubrieron una nueva oleada de correos electrónicos de phishing dirigidos a las principales aseguradoras de Oriente Próximo. Este ataque ha sido sólo uno entre muchos otros en el reciente aumento de casos de phishing y spoofing durante la crisis de Covid-19. Ya en febrero de 2020, otra gran estafa de phishing llegó a suplantar la identidad de la Organización Mundial de la Salud, enviando correos electrónicos a miles de personas en los que se pedían donaciones para paliar los efectos del coronavirus.

 

Puntos clave

  1. La suplantación de identidad por correo electrónico es un método fácilmente explotable por los ciberdelincuentes, que a menudo atacan a organizaciones de confianza.
  2. Recientes ataques de phishing se han hecho pasar por servicios reputados, aprovechándose de la confianza de los usuarios en esas plataformas.
  3. Los correos electrónicos de phishing pueden parecer rutinarios y legítimos, lo que dificulta que los usuarios los identifiquen como fraudulentos.
  4. Los mecanismos de autenticación basados en dominios, como DMARC, son esenciales para la protección contra la suplantación de identidad y los ataques de phishing.
  5. Las organizaciones deben dar prioridad a la seguridad del correo electrónico para mantener la confianza y salvaguardar su reputación frente a las ciberamenazas.

En esta reciente serie de incidentes, los usuarios del servicio Office 365 de Microsoft recibieron lo que parecían ser correos electrónicos de actualización rutinarios sobre el estado de sus cuentas de usuario. Estos correos electrónicos procedían de los propios dominios de sus organizaciones, solicitando a los usuarios que restablecieran sus contraseñas o que hicieran clic en los enlaces para ver las notificaciones pendientes.

Hemos recopilado una lista de algunos de los títulos de correo electrónico que observamos que se utilizan:

  • Actividad de inicio de sesión inusual en la cuenta de Microsoft
  • Tiene (3) mensajes pendientes de entrega en su portal de correo electrónico [email protected]*.
  • usuario@dominio Tiene mensajes pendientes de Microsoft Office UNSYNC
  • Notificación de resumen de reactivación para [email protected]

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

*Detalles de la cuenta cambiados para la privacidad de los usuarios

También puede ver una muestra de un encabezado de correo utilizado en un correo electrónico falsificado enviado a una empresa de seguros:

Recibido: de [ip_maliciosa] (helo= dominio_malicioso)

id 1jK7RC-000uju-6x

para [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recibido: de [xxxx] (port=58502 helo=xxxxx)

por dominio_malicioso con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipo de cuentas de Microsoft" 

A: [email protected]

Asunto: Notificación de Microsoft Office para [email protected] el 4/1/2020 23:46

Fecha: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Versión MIME: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Este encabezado se ha añadido para rastrear el abuso, por favor, inclúyalo con cualquier informe de abuso

X-AntiAbuse: Nombre de host principal - dominio_malicioso

X-AntiAbuse: Dominio original - dominio.es

X-AntiAbuse: UID/GID del emisor/llamante - [47 12] / [47 12]

X-AntiAbuse: Dirección del remitente Dominio - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@dominio_malicioso

X-Authenticated-Sender: dominio_malicioso: admin@dominio_malicioso

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido) client-ip= dirección_ip_maliciosa ; envelope-from=[email protected]; helo=dominio_malicioso;

X-SPF-Resultado: el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido

X-Sender-Warning: Fallo en la búsqueda inversa de DNS para dirección_ip_maliciosa (fallido)

X-DKIM-Status: ninguno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malicioso / dominio_malicioso / / por defecto

 

Nuestro Centro de Operaciones de Seguridad rastreó los enlaces de correo electrónico a URLs de phishing dirigidas a usuarios de Microsoft Office 365. Las URL redirigían a sitios comprometidos en diferentes lugares del mundo.

Simplemente mirando los títulos de los correos electrónicos, sería imposible decir que fueron enviados por alguien que suplantó el dominio de su organización. Estamos acostumbrados a un flujo constante de mensajes de correo electrónico relacionados con el trabajo o la cuenta que nos piden que iniciemos sesión en varios servicios en línea, como Office 365. La suplantación de dominio se aprovecha de ello, haciendo que sus correos electrónicos falsos y maliciosos no se distingan de los auténticos. Prácticamente no hay forma de saber, sin un análisis exhaustivo del correo electrónico, si proviene de una fuente de confianza. Y con las docenas de correos electrónicos que llegan cada día, nadie tiene tiempo para examinar cuidadosamente cada uno de ellos. La única solución sería emplear un mecanismo de autenticación que comprobara todos los correos electrónicos enviados desde su dominio, y bloqueara sólo los que fueran enviados por alguien que lo hiciera sin autorización.

Ese mecanismo de autenticación se llama DMARC. Y como uno de los principales proveedores de soluciones de seguridad de correo electrónico del mundo, en PowerDMARC nos hemos propuesto que comprenda la importancia de proteger el dominio de su organización. No sólo para usted, sino para todos los que confían en usted y dependen de usted para recibir correos electrónicos seguros y fiables en su bandeja de entrada, en todo momento.

Puede informarse sobre los riesgos de la suplantación de identidad aquí: https://powerdmarc.com/stop-email-spoofing/

Descubra cómo puede proteger su dominio de la suplantación de identidad y potenciar su marca aquí: https://powerdmarc.com/what-is-dmarc/

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
PowerDMARC se asocia con CyberSecOn y lanza nuevas operaciones en Australia, Nueva...ciberseconali saqibPowerDMARC da la bienvenida al Dr. Saqib Ali como nuevo miembro del Consejo Asesor