Los ataques de phishing internos son los que le preocupan más a los profesionales de la seguridad – aquellos correos electrónicos que envía un usuario confiable a otro dentro de la misma organización. Estos mensajes internos se utilizan en ataques que tienen múltiples fases, y en los cuales, una cuenta de correo electrónico ha sido comprometida ya sea porque en el equipo del usuario se ha instalado un software malicioso y se tiene acceso a su correo o bien porque se tienen las credenciales del usuario. Se utilizan también para realizar ataques dirigidos, donde el objetivo es robar información o extorsionar, al igual que con los esquemas de BEC diseñados para robar dinero. Debido a que el emisor es un usuario interno de confianza, el receptor no duda en abrir el mensaje.
Ejemplo: Eye Pyramid, una Campaña de Ataques Dirigidos
Los creadores de Eye Pyramid realizaron una exitosa campaña para robar información durante años antes de que fueran llevados a la corte a principios de este año. Su técnica preferida era ir de un usuario a otro usando correos electrónicos de phishing con un archivo adjunto malicioso, el cual contenía malware que recogía y extraía información, incluyendo direcciones de correo electrónico que se utilizaban para llegar a las siguientes víctimas. Sus métodos, que comprometieron más de 100 dominios de correo y 18,000 cuentas, tenían el sello de un ataque patrocinado por un estado, pero sorprendentemente fue ejecutado por un ingeniero nuclear italiano y su hermana quienes buscaban lucrar con la información.
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog-768×576.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”768″ height=”576″]
El Método de Ataque de Eye Pyramid
Ejemplo: Robo de Credenciales de Office 365
La popularidad de Microsoft Office 365 lo ha hecho un objetivo atractivo para los ataques. Hemos observado muchos ejemplos de atacantes que intentan obtener las credenciales de los usuarios para tener acceso a Office 365. Una vez que se compromete la cuenta de un usuario los atacantes pueden iniciar un ataque de Compromiso del Correo Electrónico Corporativo (BEC), como en los siguientes mensajes se muestra una transferencia electrónica fraudulenta.
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”862″ height=”444″]
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog2.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Ejemplo de un ataque para obtener las credenciales de Office 365 que se derivó, a través de BEC, en una transferencia electrónica de fondos fraudulenta desde una cuenta comprometida.
Ejemplo: El Destructivo Ataque a Financial Times
Un ejemplo de un ataque potencialmente destructivo es el que fue lanzado contra el Financial Times hace algunos años. El atacante (que se supo posteriormente fue la Syrian Electronic Army) utilizó una cuenta de correo comprometida para enviar mensajes electrónicos de phishing internos para robar credenciales adicionales. Cuando el área de TI descubrió dichos ataques de phishing, enviaron un mensaje de alerta a todos los usuarios con un enlace para cambiar sus contraseñas. El problema fue que el atacante tuvo acceso a ese mensaje también, y lo reenvío pero cambió el enlace por el de su propio sitio electrónico. Finalmente, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era “el menor de los males” y continuaron su ataque a otras compañías de medios.
Métodos para Detener los Ataques de Phishing:
El primer paso para reducir los ataques de phishing es implementar la autenticación de múltiples factores (MFA) a fin de reducir el riesgo de que un atacante tome el control de las credenciales robadas. Pero incluso cuando se habilita la MFA, los ataques de phishing pueden ocurrir si el dispositivo de un usuario es comprometido por malware. De lo que mucha gente no se da cuenta es de que las soluciones de seguridad para el Gateway de correo, que analizan el tráfico de correo SMTP entrante y saliente, no ven el correo electrónico interno. Para analizar el correo electrónico interno, usted puede usar una solución basada en “journaling” o una solución que se integre con su servicio de correo o servidor de correo. Las mejores soluciones pueden detectar todos los tipos de amenazas mediante el escaneo del contenido del correo electrónico, los archivos adjuntos y URLs.
Soluciones Basadas en Journaling
El primer método es usar la función de journaling de sus sistemas de correo electrónico para enviar una copia de cada mensaje interno a un servicio de seguridad para su análisis fuera de línea. Este método es efectivo para detectar ataques pero no para detenerlos. Algunos servicios de seguridad basados en journaling pueden utilizar las herramientas de Exchange para eliminar un correo electrónico después de estudiarlo. Sin embargo, durante el análisis, que podría ser de 5 minutos si se necesita de sandboxing, el usuario aún tiene acceso al correo y los archivos adjuntos. Y si el archivo adjunto fuera ransomware, como Teslacript que encripta 10,000 archivos en 40 segundos, podría ser muy tarde para el análisis.
Soluciones Integradas a Servicios
Las soluciones integradas a servicios resuelven el problema del acceso del usuario durante el análisis al integrarse directamente con el sistema de correo usando una API, la cual alerta a la solución de seguridad que un correo ha llegado y puede ocultarlo de los usuarios hasta que se realice el análisis. Las integraciones de servicios locales están disponibles como software para los servidores Microsoft Exchange e IBM Domino. Las soluciones basadas en API también están disponibles para los sistemas de correo electrónico en la nube, como Microsoft Office 365, si el proveedor pone las APIs a disposición de las soluciones de seguridad.
Las soluciones de Trend Micro
Trend Micro ha protegido contra las amenazas del correo electrónico interno desde 1997 y sigue ofreciendo nuevas mejoras tecnológicas. Detectamos malware, URLs maliciosos, y nuestra tecnología anti-BEC XGen® más reciente también puede identificar correos electrónicos fraudulentos. ScanMail está disponible para proteger los servidores locales de correo electrónico Microsoft Exchange e IBM Domino. Office 365 está protegido por nuestra solución basada en API, Cloud App Security, la cual ha detectado 6 millones de amenazas de alto riesgo durante los dos últimos años que la seguridad nativa de Office 365 no detectó. Cloud App Security está disponible de forma independiente o junto con la protección para gateways en Smart Protection for Office 365.
Leave a Reply