Phishing como servicio: Lo que debe saber para mantenerse ciberseguro
Dado que aparecen nuevos ciberataques en los titulares de las noticias cada semana, podría parecer que uno está nadando contracorriente al navegar por el mundo cibernético, que está en constante cambio. Una de las nuevas formas de ataque explota el phishing como servicio para robar credenciales y tomar el control de sus cuentas. Siga leyendo para saber más sobre esta forma de phishing y cómo mantenerse a salvo.
¿Qué es el phishing como servicio?
El phishing como servicio, al igual que otras ofertas como servicio, es un kit creado por ciberdelincuentes que contiene todo lo necesario para llevar a cabo con éxito una estafa de phishing. Esto puede incluir código, gráficos, plantillas de correo electrónico y páginas de destino, entre otros elementos necesarios.
Un ciberdelincuente que quiera llevar a cabo una estafa de phishing sólo tendría que comprar este kit y desplegarlo: el desarrollador o el grupo que vende el servicio ya ha hecho todo el trabajo pesado.
El ascenso de EvilProxy
En 2022, Resecurity descubrió una nueva plataforma de phishing como servicio llamado EvilProxy. Los kits creados por EvilProxy permiten a los ciberdelincuentes atacar a personas que utilizan la autenticación multifactor (MFA) para proteger sus cuentas. Al igual que los ataques por intermediarios (Adversary-in-the-Middle o Man-in-the-Middle), alguien seguiría un enlace a lo que supone que es un sitio legítimo, sólo para que sea interceptado por el atacante. El atacante utiliza cookies para iniciar sesión en la cuenta a la que se intenta acceder y recopila en secreto la información introducida en su página de destino falsa.
Otra forma en que EvilProxy intenta estafar es enfocándose en los desarrolladores de software de las grandes marcas. Al ir por los desarrolladores, envían correos electrónicos de phishing engañosos en un intento de acceder al propio software e insertar código malicioso. De este modo, pueden enviar el software, ahora con código malicioso, a personas desprevenidas que confían intrínsecamente en la marca y en su software.
En los primeros días del ascenso a la notoriedad de EvilProxy, el grupo estuvo relacionado con ataques contra usuarios de Google y Microsoft que utilizaban MFA para proteger sus cuentas. Estos ataques iban dirigidos a personas que utilizaban SMS o identificadores (tokens) de aplicación para proteger sus cuentas. A pesar de que EvilProxy es relativamente nuevo en la escena de la ciberdelincuencia, no hay duda de que sus creadores querían provocar un escándalo al atacar organizaciones grandes y de renombre. Esta tendencia ha continuado a medida que el grupo ha ido creciendo, con kits diseñados para atacar usuarios de grandes marcas como Apple, Facebook y Dropbox.
EvilProxy no titubea a la hora de proclamar su éxito o explicar cómo utilizar sus kits de phishing. Los ciberdelincuentes que deseen adquirir y utilizar los kits pueden hacerlo mediante suscripciones.
El surgimiento de EvilProxy marca un cambio notable en el mundo de la ciberdelincuencia con el desafortunado crecimiento de los actores de amenazas que explotan los mecanismos de autenticación multifactor (MFA).
EvilProxy e Indeed
Los ciberdelincuentes recientemente usaron EvilProxy para llevar a cabo un ataque dirigido a cuentas de Microsoft 365 aprovechando los redireccionamientos abiertos desde el sitio web de empleo Indeed.
Los redireccionamientos abiertos no son intrínsecamente malos, y muchos sitios web los utilizan para páginas de inicio de sesión o para MFA.
Los atacantes se concentraron en empleados de alto rango de los sectores de la electrónica, la fabricación, la banca, las finanzas y otras industrias a través de una debilidad relacionada con los redireccionamientos abiertos en el código del sitio web. Esto les permitió crear una redirección a una página de destino de phishing sin que sonaran las alarmas.
Los blancos del ataque recibían un enlace aparentemente legítimo a una página de Indeed. Dado que los atacantes se aprovecharon de una empresa muy conocida, las personas que seguían el enlace confiaban intrínsecamente en que se dirigían a una página de sesión legítima.
Los blancos eran enviados a una página de sesión falsa de Microsoft 365, donde ingresaban sus datos y completaban la MFA. Los actores de la amenaza pudieron capturar las credenciales del blanco y las cookies auténticas para piratear su cuenta.
Un portavoz de Indeed ha informado que no se accedió indebidamente a los datos de ningún usuario.
Cómo protegerse de los ataques de phishing como servicio
1. Visite directamente el sitio. Si recibe un correo electrónico en el que se le pide que siga un enlace a un sitio conocido, en lugar de seguir el enlace inicie sesión directamente a través del sitio web.
2. Use un gestor de contraseñas. El gestor de contraseñas puede almacenar la URL del sitio web al que usted intenta acceder, de modo que si no recibe el aviso del gestor de contraseñas para ingresar la contraseña, puede usted estar seguro de que está en el sitio equivocado.
3. Tenga cuidado con los ataques MFA. MFA es una capa adicional de seguridad útil y segura para proteger sus cuentas que nosotros le recomendamos utilizar para protegerse tanto en el trabajo como en casa. Algunas medidas que puede tomar para aumentar la seguridad de MFA incluyen:
a. Reduzca el tiempo que transcurre entre los distintos métodos de autenticación (por ejemplo, si una cuenta está protegida por contraseña y requiere un código MFA para acceder a ella).
b. Añada factores adicionales de autenticación, como la geolocalización o factores biométricos, que son más difíciles de piratear para los ciberdelincuentes.
Los ataques de phishing como servicio pueden tener un impacto sustancial en sus cuentas personales, y un impacto igualmente sustancial en sus cuentas de trabajo. Saber qué hacer cuando se encuentra con algo sospechoso le ayudará a mantenerse ciberseguro. Si alguna vez tiene dudas, póngase en contacto con el equipo de concienciación sobre seguridad de su organización.