Phishing en la nube: nuevos trucos y la joya de la corona

Explicación de las técnicas evolucionadas de phishing en la nube y lecciones aprendidas del reciente hackeo de Dropbox y Uber La computación en la nube brinda a los phishers un nuevo campo de juego para cosechar y hacer crecer su negocio. Pero no solo eso, los impactos son mucho más amplios y peligrosos. Ninguna organización, pequeña o grande, es invulnerable a los ataques de phishing. Por lo tanto, es fundamental saber cómo puede ser atacado y qué puede hacer para evitarlo. El phishing basado en SaaS ya es familiar. Por ejemplo, más , desde credenciales robadas hasta URL maliciosas. Además, según un informe de , los investigadores han visto un aumento masivo de este abuso, y los datos recopilados por la empresa muestran una enorme expansión del 1100 % desde junio de 2021 hasta junio de 2022. del 90% de todas las violaciones de datos se deben a phishing la Unidad 42 de Palo Alto Networks Con más avances en tecnología, los defensores no solo pueden aprovechar herramientas y técnicas más sofisticadas para detectar y bloquear correos electrónicos, enlaces y mensajes de phishing, sino que los atacantes también están mejorando su lado del juego del gato y el ratón. Si bien la mayoría de los ataques de ingeniería social se entregan por correo electrónico, un aumento de la ingeniería social entregada a través de otras plataformas de comunicación en 2022. un tercio de los profesionales de TI informaron : Estos incluyen ataques entregados a través de Plataformas de videoconferencia (44%), Plataformas de mensajería de la fuerza laboral (40%), Plataformas de intercambio de archivos basadas en la nube (40 %), y SMS (36%). Además, el phishing en las redes sociales es cada vez más común y, en el primer trimestre de 2022, . Según el informe , a los empleados del 74 % de las organizaciones se les han enviado mensajes de texto fraudulentos (smishing) y el mismo porcentaje ha sido atacado en las redes sociales. los usuarios de LinkedIn fueron objeto del 52 % de todos los ataques de phishing a nivel mundial State of the Phish 2022 de Proofpoint Una nueva técnica de phishing difícil de detectar: SaaS-to-SaaS Todo esto podría suceder sin que el atacante toque las computadoras/redes locales de la víctima. Dado que todo sucedió de SaaS a SaaS, no se inspeccionarán todas las medidas de seguridad existentes, como la puerta de enlace antispam, el sandboxing y el filtrado de URL. Por lo tanto, no se generará ninguna alerta. Además, con el aumento de la productividad de la oficina en la nube y las tecnologías de colaboración multiusuario, ahora es posible que un atacante de estos dominios de confianza sin ser detectado. aloje y comparta documentos maliciosos, archivos e incluso malware en la infraestructura de la nube Desde , vimos la tendencia de utilizar este ataque de phishing de SaaS a SaaS de "etapas múltiples". los hallazgos de Check Point Research en 2020 La primera etapa de un ataque de phishing suele Este documento se puede descargar; sin embargo, es fundamental tener en cuenta que para facilitar el uso, estos servicios en la nube abren el PDF para su visualización, lo que permite cargarlo en el navegador web sin restricciones ni advertencias. ser una factura falsa o un documento PDF seguro alojado en servicios en la nube. Es difícil de detectar porque no necesariamente golpeó la protección desplegada. Como vimos en las noticias, como AWS Cloud Phishing intenta en , si se implementa la detección de phishing en la entrada y salida de correos electrónicos, nunca verá que suceda. agosto Todas las acciones ocurrieron en la Nube (o múltiples nubes); cuando tuvo lugar la detección/escaneo, todo parecía legítimo y encriptado. Lo más probable es que el correo electrónico de phishing llegue a la máquina de las víctimas y toda la magia suceda en el navegador. Phishing en la nube de varias etapas A principios de este año, que se aprovechan de quienes no usan la autenticación multifactor. Microsoft advirtió sobre un nuevo phishing que aprovecha los AD de Azure Este ataque está prosperando ahora, pero no antes, porque los atacantes aprovechan a través de la capacidad de registro de dispositivos utilizando credenciales recién robadas, y se puede acceder a la autenticación en la nube en cualquier momento y en cualquier lugar. el concepto de BYOD (Bring-Your-Own-Device) Nada fuera de lo común, se trata de una novedosa técnica de ataque que combina el phishing tradicional con acciones de segunda fase o incluso de tercera fase. La primera etapa roba el correo electrónico de un empleado como los ataques regulares de phishing. Sin embargo, en lugar de atacar a la víctima, la una nueva cuenta de Office 365 en un dispositivo no autorizado a nombre de la víctima. Una vez establecida en la nueva computadora, la cuenta de usuario de la víctima (y, en este caso, su anuncio de Azure) se usa para enviar (disfrazados de la víctima) dentro de la empresa o a los clientes que usan la cuenta de correo electrónico legítima. segunda etapa establece ataques de phishing internos Si quieren obtener más control o encontrar un mejor "anfitrión", Estos ataques de varias etapas parecen legítimos e incluso pueden implementar malware en los sistemas OneDrive o SharePoint de la empresa. pueden encontrarlo a través de la primera víctima y luego comprometer la segunda cuenta mediante phishing interno. ChatGPT (u otra IA) Según , el phishing representa casi el 90 % de los ataques de malware. Pero ChatGPT podría empeorar aún más la situación. Tal inteligente 🧠 AI Chatbot puede ser . Entonces, es posible que la víctima ni siquiera sepa que está interactuando con una IA. la investigación de HP Wolf Security una forma de recopilar información a través de un chat amigable como el humano https://research.checkpoint.com/2022/opwnai-ai-que-puede-salvar-el-dia-o-hackear-lo-lejos/?embedable=true demuestra . Se pueden generar múltiples scripts rápidamente, con variaciones. Los procesos de ataque complejos también se pueden automatizar utilizando las API de LLM para generar otros artefactos maliciosos. Check Point Research publicó recientemente un artículo interesante que cómo los modelos de IA pueden crear un flujo de infección completo, desde el phishing dirigido hasta el shell inverso Otro riesgo es más prominente. La tecnología de inteligencia artificial como ChatGPT permitirá a los atacantes . Por ejemplo, supongamos que los ataques de phishing genéricos envían millones de correo no deseado en forma de correos electrónicos, SMS (en el caso de la destrucción) y publicaciones en las redes sociales. Pero estos son fáciles de detectar, lo que resulta en un bajo rendimiento. combinar el volumen de phishing masivo con un ataque dirigido (o phishing selectivo) Con la adición de un AI Chatbot, se podrían generar millones de mensajes de phishing selectivo en segundos. Así, los atacantes pueden tener lo mejor de ambos mundos. Por lo tanto, en 2023, probablemente veremos . Sería un tremendo desafío para los equipos de seguridad. algo de phishing a gran escala que envía millones de mensajes únicos generados en cuestión de minutos Otras técnicas novedosas de phishing QRishing Los atacantes ahora intentan entregar lo que los hace difíciles de detectar para la mayoría de las soluciones de seguridad de correo electrónico. QRishing combina las palabras: "Códigos QR" + "Phishing". Esto indica que el ataque tiene la forma de un código QR. Potencialmente, puede dirigir a las víctimas a conectarse a una red WiFi no segura mientras alguien puede capturar fácilmente lo que está escribiendo. enlaces de malware a través de códigos QR incrustados en los correos electrónicos, Algunos adversarios incluso colocan códigos QR maliciosos en restaurantes u otros lugares públicos. Dado que la pandemia limita el contacto físico, los códigos QR son una herramienta popular para los actores de amenazas. Lo usamos para acceder a los menús, registrar vacunas y obtener información pública. Además, la táctica de la ingeniería social es insertar códigos QR falsos en un texto de phishing (SMishing + QRishing) o en una plataforma de redes sociales. Al escanear el código malicioso, los usuarios son redirigidos a sitios de phishing, donde se le puede pedir a la víctima que inicie sesión y robe sus credenciales. SMishing Eso significa que es un tipo de phishing enviado a través de su red móvil en forma de mensajes de texto. Aunque el nombre usa SMS, este ataque puede ocurrir en otras plataformas de mensajería, como Facebook Messenger o WhatsApp. Common Smishing intenta centrarse en las necesidades diarias. Las entregas perdidas, los pagos atrasados, las notificaciones bancarias, las multas y los avisos urgentes son ejemplos de ataques de smishing. SMishing combina las palabras "phishing" y "SMS". Con tantas personas que se quedan en casa y tantas compras diarias en línea, estamos inundados de cartón. Es muy difícil hacer un seguimiento de todo lo que entra en la casa. La combinación de servicios de entrega conocidos con es la mejor receta para un Smishing exitoso. notificaciones falsas de "tarifa de entrega" Joya de la corona = Cuentas de desarrollador ¿Por qué los actores de amenazas intentan comprometer las cuentas de los desarrolladores? ¿Y qué puede salir mal si se los roban? Dependiendo de la posición del desarrollador, los atacantes obtienen acceso a casi todo: claves SSH, claves API, Código fuente, infraestructura de producción, Acceso a canalizaciones de CI/CD y, es decir, las obras. Suponiendo un compromiso con el "mejor escenario", la cuenta de un ingeniero junior podría ser robada. Como mínimo, este ingeniero tiene acceso de "compromiso" al código fuente. Por otro lado, suponga que la organización no sigue las mejores prácticas de la ingeniería de software, como las revisiones de código y la restricción de quién puede comprometerse con la rama principal. En ese caso, el atacante puede modificar el código fuente de la organización para alterar e infectar el producto final. En el peor de los casos, que también es el más probable, el atacante obtendrá acceso a un desarrollador senior con más permisos. Esta cuenta podría omitir manualmente algunas verificaciones de código, que también tendrán acceso a recursos valiosos (código fuente, claves SSH, secretos, credenciales, claves API, canalizaciones de CI/CD y más). Este escenario, donde este tipo de cuenta se ve comprometida, sería devastador para una organización. Las cuentas de desarrollador generalmente vienen con GitHub u otro acceso al repositorio de código. Dropbox y Uber En septiembre, Más tarde, descubrimos que el hackeo estaba relacionado con Uber reveló que los piratas informáticos habían robado la información personal de unos 57 millones de clientes y conductores . obtenida mediante un “ ” una credencial codificada ataque remoto de ingeniería social”. En noviembre, debido a un ataque de phishing contra sus desarrolladores. Fueron atraídos a mediante un correo electrónico de phishing en un sitio web falso, Lo que da miedo a estos incidentes es que no se trataba simplemente de un usuario aleatorio de una función comercial; eran desarrolladores con acceso privilegiado a muchos datos de Dropbox y Uber. Dropbox tuvo un incidente de seguridad completar sus credenciales de Github a pesar de la autenticación multifactor (MFA) en su lugar. Fatiga MFA Ambos casos de estas dos gigantes tecnológicas implementaron la autenticación multifactor. Aún así, los piratas informáticos encuentran una manera de eludir o sortear esta medida que puede evitar la mayoría de los robos de credenciales. En el caso de Uber, el pirata informático (supuestamente un joven de 17 años) fue creativo y ideó un método de baja tecnología pero muy efectivo: El intenta iniciar sesión repetidamente, enviando una avalancha de solicitudes de inserción a los usuarios para pedirle a la víctima que confirme el inicio de sesión. Una vez que la víctima dejó de hacer clic en "no" en su teléfono, seguido de un "inicio de sesión autorizado", la MFA falló. un " ataque de fatiga MFA". atacante Para el caso de Dropbox, que es mucho más sencillo. El correo electrónico de phishing supuestamente se . Luego, el sitio de phishing de aspecto realista engañó al desarrollador para que escribiera la credencial y la contraseña de un solo uso. Por lo tanto, MFA también fracasó. originó en la plataforma de entrega e integración de código, CircleCI Código Repo y más Como vimos en estos incidentes, Con los permisos adecuados, los atacantes pueden obtener propiedad intelectual, códigos fuente y otros datos confidenciales. GitHub y otras plataformas en el espacio de canalización de integración continua/implementación continua (CI/CD) son las nuevas "joyas de la corona" para muchas empresas. Pero no termina ahí, ya que GitHub a menudo se integra con otras plataformas, lo que permite que los "usuarios" permitidos vayan aún más lejos. Además, las cuentas de los desarrolladores suelen tener acceso al nivel más profundo, ya que mantener y desarrollar la aplicación principal puede ser parte de su responsabilidad laboral. Eso convierte a la cuenta del desarrollador en una joya de la corona para los atacantes. Cómo mejorar sus defensas contra el phishing Según , la organización promedio recibe docenas de correos electrónicos de phishing por día, y las pérdidas financieras se agravan a medida que las pérdidas por ataques de malware y ransomware aumentan el costo promedio de los ataques de phishing año tras año. Hacer frente a todas las amenazas destacadas requiere un esfuerzo adicional y, si bien no puede eliminar el riesgo de ataques de phishing, puede aprender de las tendencias e incidentes observados para administrarlos mejor. las estadísticas de la industria Por ejemplo, aquí están las recomendaciones del : reciente informe Zscaler Comprender los riesgos para informar mejor las decisiones políticas y tecnológicas Aproveche las herramientas automatizadas y la información procesable para reducir los incidentes de phishing Implemente arquitecturas de confianza cero para limitar el radio de explosión de los ataques exitosos Ofrezca capacitación oportuna para generar conciencia sobre la seguridad y promover los informes de los usuarios Simule ataques de phishing para identificar brechas en su programa Aparte de las cinco mitigaciones básicas de los ataques de phishing, podemos hacer más. Por lo tanto, terminaré este artículo con consejos que puede llevar consigo. , tener un mayor grado de resiliencia cibernética sería una excelente manera de comenzar. Sabiendo que los phishers eventualmente encontrarán una manera de llegar a usted Sugerencia n.º 1: enfoque de defensa contra el phishing de varias capas La seguridad típica del correo electrónico contra el phishing a menudo se basa exclusivamente en un único punto de protección, como las puertas de enlace de correo electrónico y los agentes móviles/de punto final. Todo lo que pase por esa puerta dependerá de que los usuarios puedan detectar mensajes de phishing. Sin mencionar que los atacantes ahora están afilando sus armas con phishing de varias etapas. Por el contrario, Además, habría múltiples posibilidades de detectar y atrapar un correo electrónico de phishing. un enfoque de defensa en capas podría mejorar la resiliencia cibernética sin interrumpir la productividad empresarial. Alcance: evita que el correo electrónico llegue a la bandeja de entrada del usuario. Esto se puede lograr mediante la introducción de software de seguridad antiphishing, como filtros de correo no deseado. Además, se deben implementar controles contra la suplantación de identidad, tales como; Registros DMARC, DKIM y SPF. Identificar: la mayoría de las violaciones de datos se inician a través de un correo electrónico de phishing debido a un error humano. Por lo tanto, el personal debe recibir capacitación periódica para identificar los últimos correos electrónicos potenciales de phishing. Esto les permitirá seguir el proceso de la empresa cuando ocurra un incidente, lo que debe incluir informar el incidente al equipo correspondiente. Proteger: se deben implementar protecciones para cuando ocurran incidentes. Estas protecciones incluyen pero no se limitan a; hacer cumplir la autenticación multifactor (MFA), los administradores de contraseñas, las comprobaciones periódicas del estado de TI y las defensas de puntos finales. Respuesta: el personal debe poder informar incidentes de phishing al equipo correspondiente. Debe existir un registro de seguridad dedicado y un sistema de alarma, así como un Plan de Respuesta a Incidentes. Aunque algunos ataques logran pasar, este enfoque ayudará con la respuesta a incidentes y minimizará el impacto. Consejo #2: Enfoque de acceso justo a tiempo (JIT) El acceso privilegiado implica un peligro importante, afirma . El riesgo que suponen los usuarios con privilegios permanentes persiste incluso con las herramientas PAM, y es considerable. Sugieren que los líderes de administración de identidad y acceso (IAM) utilicen soluciones justo a tiempo (JIT) para finalmente lograr una postura sin privilegios permanentes. Gartner también proporcionó una solución para contrarrestarlo: el enfoque Just-in-Time. Por ejemplo, cuando los desarrolladores usan estas credenciales para configurar o modificar los recursos de producción, es crucial otorgarles los permisos apropiados, con solo las capacidades necesarias para completar tareas específicas. Gartner El enfoque JIT, que se ocupa de la seguridad de la información, solo brinda a los usuarios acceso a recursos privilegiados mientras trabajan. Esto reduce la superficie de ataque y elimina el riesgo provocado por los privilegios persistentemente retenidos. Consejos n.° 3: revisar el reenvío de buzones Los actores de amenazas usan cuentas comprometidas no solo para robar datos internos sino también, por ejemplo: Leer los correos electrónicos de los usuarios, Distribuir malware, spam, Aprenda sobre el usuario y para lanzar aún más el phishing de segunda etapa, y Reenvío de correos electrónicos a destinatarios externos. Los atacantes pueden configurar reglas de correo electrónico para ocultar sus actividades maliciosas al usuario para ocultar los correos electrónicos entrantes en el buzón de correo del usuario comprometido. También pueden crear reglas en el buzón de correo del usuario comprometido para eliminar correos electrónicos, moverlos a una carpeta menos visible, como una carpeta RSS, o reenviar correos electrónicos a una cuenta externa. Los correos electrónicos se pueden reenviar de forma manual o automática mediante reglas de reenvío. El reenvío automático se puede lograr de varias maneras, incluidas Si bien el reenvío manual requiere que los usuarios tomen medidas directas, es posible que deban estar al tanto de todos los correos electrónicos reenviados automáticamente. las reglas de la bandeja de entrada, las reglas de transporte de Exchange (ETR) y el reenvío SMTP. Sería conveniente programar una revisión de todas las reglas de reenvío de correo electrónico a direcciones externas y comprobar que no se trata de una dirección IP inusual y que corresponde a las actividades habituales del usuario. Ultimas palabras mientras el factor humano esté en la fórmula. Como resultado, lo mejor que podemos hacer a largo plazo es Sería un diseño mucho más granular del enfoque de defensa de múltiples capas. La realidad es que nadie puede detener el phishing por completo adoptar Zero Trust Architecture para la seguridad del correo electrónico. Un enfoque de confianza cero para el correo electrónico puede ayudar a las organizaciones a defenderse de los ataques de suplantación de identidad de correo electrónico , lo que garantiza que los correos electrónicos que ingresen al entorno corporativo o lleguen a las bandejas de entrada de los usuarios finales provengan de personas, marcas y dominios legítimos. . centrándose en la autenticación (verificación de la confianza del usuario/dispositivo) https://hackernoon.com/introduction-to-the-zero-trust-security-architecture-a-concept-not-a-product?embedable=true Existe una posición privilegiada para los desarrolladores de software en cada organización técnica. Son el eje de cualquier empresa moderna debido a su acceso ascendente a los productos distribuidos a los clientes y su acceso a los sistemas de producción y la infraestructura. La organización de seguridad fallaría si los desarrolladores no estuvieran protegidos, lo que conduciría a una catástrofe. Si, lamentablemente, cae en un ataque de phishing, haga lo siguiente: Póngase en contacto con el departamento de TI y hágales saber la situación Restablecer contraseña para aplicaciones relacionadas Por favor, no utilice una contraseña repetida. En su lugar, restablezca la cuenta con la misma contraseña que las aplicaciones anteriores. Supervise la cuenta con atención durante 30 días Finalmente, NIST desarrolló un método para ayudar al equipo de seguridad a ver por qué los usuarios hacen clic en el correo electrónico de phishing: https://www.nist.gov/news-events/news/2020/09/phish-scale-nist-velop-method-helps-it-staff-see-why-users-click?embedable=true Gracias por leer. Que InfoSec te acompañe🖖.