El portal de noticias de informática Noticias de Seguridad compartió recientemente una noticia referente a cómo los hackers han tomado la plataforma de llamadas Zoom para robar credenciales de personas que utilizan Microsoft, siendo este un nuevo modus operanti de estos piratas cibernéticos. Cabe destacar que este tipo de ataque tiene una carga de ingeniería social, porque Zoom es utilizada por muchos usuarios.

 

En este sentido, la empresa MásQueSeguridad, dirigida por Rafael Núñez Aponte, con el objetivo de que los usuarios puedan conocer más sobre este tema y que estén actualizados con las últimas noticias en el mundo de la ciberseguridad comparte esta información del portal web de noticias. A continuación presentamos toda la información:

 

Hoy, veremos un ataque de phishing de credenciales que falsificó la marca Zoom para robar las credenciales de usuario de Microsoft de las víctimas. El ataque de correo electrónico tenía una carga útil de ingeniería social, pasó por alto la seguridad de correo electrónico de Microsoft Exchange y se habría entregado a miles de usuarios.

 

Zoom: Credenciales falsificadas

 

 

• Correo electrónico

 

El correo electrónico se tituló “[Externo] Para el nombre del destinatario hoy, 2022″ y el atacante eligió completar el nombre de la víctima dentro del título del correo electrónico para brindar un nivel de personalización al ataque. El cuerpo del correo electrónico afirmaba que el destinatario tenía dos mensajes que esperaban una respuesta. El cuerpo del correo electrónico contenía dos URL incorrectas: una asociada con el botón de llamada a la acción principal y la otra oculta como un enlace para cancelar la suscripción.

 

El correo electrónico incluía un logotipo de Zoom en la parte superior para infundir confianza en el destinatario de que la comunicación por correo electrónico era una comunicación comercial legítima por correo electrónico de Zoom, en lugar de un ataque de correo electrónico dirigido y socialmente diseñado.

 

• Página de phishing

 

El botón principal de llamado a la acción dentro del correo electrónico llevó a las víctimas a una página de inicio falsa que parecía una página de inicio de sesión legítima de Microsoft. Una vez dirigidas, se les pedía a las víctimas que ingresaran la contraseña de su cuenta de Microsoft (datos confidenciales de PII) para verificar su identidad, antes de poder ver los mensajes que esperaban una respuesta. Instantánea dirigía a una página de destino falsa creada para filtrar las credenciales de los usuarios.

 

Vemos un estilo similar de esta página de destino falsa en muchas páginas de inicio de sesión de Microsoft falsificadas que se usan en ataques dirigidos, con la página dominada por el indicador de inicio de sesión y la dirección de correo electrónico de la víctima ya está completa. Esto ayuda a los atacantes a fomentar un sentido de confianza en las víctimas, haciéndolas más propensas a caer en este tipo de ataques de correo electrónico sofisticados.

 

• Flujo de ataque

 

Este ataque de correo electrónico se hizo pasar por una marca conocida (Zoom), con la intención de crear un sentido de confianza en la víctima. Los atacantes incluyeron logotipos legítimos y la marca de la empresa en el correo electrónico malicioso y en la página de destino falsa, con el fin de filtrar los datos confidenciales de PII de las víctimas. El correo electrónico de ingeniería social se construyó cuidadosamente para aprovechar la curiosidad y la confianza de la víctima, con el objetivo de filtrar las credenciales del usuario.

 

• El poder de Armorblox

 

El ataque de correo electrónico eludió los controles de seguridad de correo electrónico nativos de Microsoft Exchange porque pasó todas las comprobaciones de autenticación de correo electrónico: DKIM, SPF y DMARC.

 

El correo electrónico incluía un logotipo de Zoom en la parte superior para infundir confianza en el destinatario de que la comunicación por correo electrónico era una comunicación comercial legítima por correo electrónico de Zoom, en lugar de un ataque de correo electrónico dirigido y socialmente diseñado.

 

Afortunadamente, estos usuarios finales están protegidos por Armorblox, que detectó con precisión este ataque de correo electrónico que contenía una URL maliciosa. Armorblox utiliza la comprensión del lenguaje natural (NLU) para comprender el contenido y el contexto de las comunicaciones por correo electrónico para brindar a las organizaciones y a los usuarios finales una mejor protección contra este tipo de ataques de correo electrónico dirigidos y de ingeniería social.

 

 

Resumen de técnicas utilizadas

 

 

• Botón principal de llamado a la acción: dentro del correo electrónico llevó a las víctimas a una página de inicio falsa que parecía una página de inicio de sesión legítima de Microsoft. Una vez dirigidas, se les pedía a las víctimas que ingresaran la contraseña de su cuenta de Microsoft (datos confidenciales de PII) para verificar su identidad.

 

• Ingeniería social: el título, el diseño y el contenido del correo electrónico tenían como objetivo inducir un sentido de confianza y urgencia en las víctimas. Se indujo confianza al hacerse pasar por una marca conocida (Zoom) y un sentido de urgencia a través del lenguaje utilizado tanto en el correo electrónico como en la página de destino falsa. El contexto de este ataque también aprovecha el efecto curiosidad, que es un sesgo cognitivo que hace referencia a nuestro deseo innato de resolver la incertidumbre y saber más sobre algo.

 

• Suplantación de marca: el correo electrónico y las páginas de destino falsas incluían una marca similar a la marca Zoom legítima que se encuentra en las comunicaciones y el sitio web. La información incluida en el cuerpo del ataque por correo electrónico es similar a las comunicaciones por correo electrónico de notificación legítima de Zoom, además de que los logotipos utilizados tanto en el correo electrónico como en la página de destino son los mismos para tratar de engañar a la víctima e infundir confianza.

 

 

Orientación y recomendaciones

 

 

1. Aumentar la seguridad del correo electrónico nativo con controles adicionales

 

Para una mejor protección y cobertura contra los ataques de correo electrónico (ya sea phishing de lanza, compromiso de correo electrónico comercial o ataques de phishing de credenciales como este), las organizaciones deben aumentar la seguridad de correo electrónico integrada con capas que adoptan un enfoque materialmente diferente para la detección de amenazas.

 

2. Tener cuidado con las señales de ingeniería social

 

Dado que recibimos tantos correos electrónicos de proveedores de servicios, nuestros cerebros han sido entrenados para ejecutar rápidamente las acciones solicitadas. Es mucho más fácil decirlo que hacerlo, pero interactúe con estos correos electrónicos de una manera racional y metódica siempre que sea posible.

 

Someta el correo electrónico a una prueba ocular que incluya la inspección del nombre del remitente, la dirección de correo electrónico del remitente, el idioma dentro del correo electrónico y cualquier inconsistencia lógica dentro del correo electrónico.

 

3. Seguir las mejores prácticas de autenticación multifactor y administración de contraseñas

 

Implementar estas mejores prácticas de higiene para minimizar el impacto de la extracción de credenciales:

 

• Utilizar la autenticación multifactor (MFA) en todas las cuentas comerciales y personales posibles.
• No usar la misma contraseña en múltiples sitios/cuentas.
• Utilizar un software de administración de contraseñas como LastPass o 1password para almacenar las contraseñas de su cuenta.