Phishing en la nube: nuevos trucos y la joya de la corona

Explicación de las técnicas evolucionadas de phishing en la nube y lecciones aprendidas del reciente hackeo de Dropbox y Uber

La computación en la nube brinda a los phishers un nuevo campo de juego para cosechar y hacer crecer su negocio. Pero no solo eso, los impactos son mucho más amplios y peligrosos. Ninguna organización, pequeña o grande, es invulnerable a los ataques de phishing. Por lo tanto, es fundamental saber cómo puede ser atacado y qué puede hacer para evitarlo.

El phishing basado en SaaS ya es familiar. Por ejemplo, más del 90% de todas las violaciones de datos se deben a phishing , desde credenciales robadas hasta URL maliciosas. Además, según un informe de la Unidad 42 de Palo Alto Networks , los investigadores han visto un aumento masivo de este abuso, y los datos recopilados por la empresa muestran una enorme expansión del 1100 % desde junio de 2021 hasta junio de 2022.

Con más avances en tecnología, los defensores no solo pueden aprovechar herramientas y técnicas más sofisticadas para detectar y bloquear correos electrónicos, enlaces y mensajes de phishing, sino que los atacantes también están mejorando su lado del juego del gato y el ratón.

Si bien la mayoría de los ataques de ingeniería social se entregan por correo electrónico, un tercio de los profesionales de TI informaron un aumento de la ingeniería social entregada a través de otras plataformas de comunicación en 2022.

Estos incluyen ataques entregados a través de :

• Plataformas de videoconferencia (44%),
• Plataformas de mensajería de la fuerza laboral (40%),
• Plataformas de intercambio de archivos basadas en la nube (40 %), y
• SMS (36%).

Además, el phishing en las redes sociales es cada vez más común y, en el primer trimestre de 2022, los usuarios de LinkedIn fueron objeto del 52 % de todos los ataques de phishing a nivel mundial . Según el informe State of the Phish 2022 de Proofpoint , a los empleados del 74 % de las organizaciones se les han enviado mensajes de texto fraudulentos (smishing) y el mismo porcentaje ha sido atacado en las redes sociales.

Una nueva técnica de phishing difícil de detectar: SaaS-to-SaaS

Todo esto podría suceder sin que el atacante toque las computadoras/redes locales de la víctima. Dado que todo sucedió de SaaS a SaaS, no se inspeccionarán todas las medidas de seguridad existentes, como la puerta de enlace antispam, el sandboxing y el filtrado de URL. Por lo tanto, no se generará ninguna alerta.

Además, con el aumento de la productividad de la oficina en la nube y las tecnologías de colaboración multiusuario, ahora es posible que un atacante aloje y comparta documentos maliciosos, archivos e incluso malware en la infraestructura de la nube de estos dominios de confianza sin ser detectado.

Desde los hallazgos de Check Point Research en 2020 , vimos la tendencia de utilizar este ataque de phishing de SaaS a SaaS de "etapas múltiples".

La primera etapa de un ataque de phishing suele ser una factura falsa o un documento PDF seguro alojado en servicios en la nube. Este documento se puede descargar; sin embargo, es fundamental tener en cuenta que para facilitar el uso, estos servicios en la nube abren el PDF para su visualización, lo que permite cargarlo en el navegador web sin restricciones ni advertencias.

Es difícil de detectar porque no necesariamente golpeó la protección desplegada. Como vimos en las noticias, como AWS Cloud Phishing intenta en agosto , si se implementa la detección de phishing en la entrada y salida de correos electrónicos, nunca verá que suceda.

Todas las acciones ocurrieron en la Nube (o múltiples nubes); cuando tuvo lugar la detección/escaneo, todo parecía legítimo y encriptado. Lo más probable es que el correo electrónico de phishing llegue a la máquina de las víctimas y toda la magia suceda en el navegador.

Phishing en la nube de varias etapas

A principios de este año, Microsoft advirtió sobre un nuevo phishing que aprovecha los AD de Azure que se aprovechan de quienes no usan la autenticación multifactor.

Este ataque está prosperando ahora, pero no antes, porque los atacantes aprovechan el concepto de BYOD (Bring-Your-Own-Device) a través de la capacidad de registro de dispositivos utilizando credenciales recién robadas, y se puede acceder a la autenticación en la nube en cualquier momento y en cualquier lugar.

Nada fuera de lo común, se trata de una novedosa técnica de ataque que combina el phishing tradicional con acciones de segunda fase o incluso de tercera fase. La primera etapa roba el correo electrónico de un empleado como los ataques regulares de phishing.

Sin embargo, en lugar de atacar a la víctima, la segunda etapa establece una nueva cuenta de Office 365 en un dispositivo no autorizado a nombre de la víctima. Una vez establecida en la nueva computadora, la cuenta de usuario de la víctima (y, en este caso, su anuncio de Azure) se usa para enviar ataques de phishing internos (disfrazados de la víctima) dentro de la empresa o a los clientes que usan la cuenta de correo electrónico legítima.

Si quieren obtener más control o encontrar un mejor "anfitrión", pueden encontrarlo a través de la primera víctima y luego comprometer la segunda cuenta mediante phishing interno. Estos ataques de varias etapas parecen legítimos e incluso pueden implementar malware en los sistemas OneDrive o SharePoint de la empresa.

ChatGPT (u otra IA)

Según la investigación de HP Wolf Security , el phishing representa casi el 90 % de los ataques de malware. Pero ChatGPT podría empeorar aún más la situación. Tal inteligente 🧠 AI Chatbot puede ser una forma de recopilar información a través de un chat amigable como el humano . Entonces, es posible que la víctima ni siquiera sepa que está interactuando con una IA.

Check Point Research publicó recientemente un artículo interesante que demuestra cómo los modelos de IA pueden crear un flujo de infección completo, desde el phishing dirigido hasta el shell inverso . Se pueden generar múltiples scripts rápidamente, con variaciones. Los procesos de ataque complejos también se pueden automatizar utilizando las API de LLM para generar otros artefactos maliciosos.

Otro riesgo es más prominente. La tecnología de inteligencia artificial como ChatGPT permitirá a los atacantes combinar el volumen de phishing masivo con un ataque dirigido (o phishing selectivo) . Por ejemplo, supongamos que los ataques de phishing genéricos envían millones de correo no deseado en forma de correos electrónicos, SMS (en el caso de la destrucción) y publicaciones en las redes sociales. Pero estos son fáciles de detectar, lo que resulta en un bajo rendimiento.

Con la adición de un AI Chatbot, se podrían generar millones de mensajes de phishing selectivo en segundos. Así, los atacantes pueden tener lo mejor de ambos mundos. Por lo tanto, en 2023, probablemente veremos algo de phishing a gran escala que envía millones de mensajes únicos generados en cuestión de minutos . Sería un tremendo desafío para los equipos de seguridad.

Otras técnicas novedosas de phishing

QRishing

Los atacantes ahora intentan entregar enlaces de malware a través de códigos QR incrustados en los correos electrónicos, lo que los hace difíciles de detectar para la mayoría de las soluciones de seguridad de correo electrónico. QRishing combina las palabras: "Códigos QR" + "Phishing". Esto indica que el ataque tiene la forma de un código QR. Potencialmente, puede dirigir a las víctimas a conectarse a una red WiFi no segura mientras alguien puede capturar fácilmente lo que está escribiendo.

Algunos adversarios incluso colocan códigos QR maliciosos en restaurantes u otros lugares públicos. Dado que la pandemia limita el contacto físico, los códigos QR son una herramienta popular para los actores de amenazas. Lo usamos para acceder a los menús, registrar vacunas y obtener información pública. Además, la táctica de la ingeniería social es insertar códigos QR falsos en un texto de phishing (SMishing + QRishing) o en una plataforma de redes sociales. Al escanear el código malicioso, los usuarios son redirigidos a sitios de phishing, donde se le puede pedir a la víctima que inicie sesión y robe sus credenciales.

SMishing

SMishing combina las palabras "phishing" y "SMS". Eso significa que es un tipo de phishing enviado a través de su red móvil en forma de mensajes de texto. Aunque el nombre usa SMS, este ataque puede ocurrir en otras plataformas de mensajería, como Facebook Messenger o WhatsApp. Common Smishing intenta centrarse en las necesidades diarias. Las entregas perdidas, los pagos atrasados, las notificaciones bancarias, las multas y los avisos urgentes son ejemplos de ataques de smishing.

Con tantas personas que se quedan en casa y tantas compras diarias en línea, estamos inundados de cartón. Es muy difícil hacer un seguimiento de todo lo que entra en la casa. La combinación de servicios de entrega conocidos con notificaciones falsas de "tarifa de entrega" es la mejor receta para un Smishing exitoso.

Joya de la corona = Cuentas de desarrollador

¿Por qué los actores de amenazas intentan comprometer las cuentas de los desarrolladores? ¿Y qué puede salir mal si se los roban?

Dependiendo de la posición del desarrollador, los atacantes obtienen acceso a casi todo:

• claves SSH,
• claves API,
• Código fuente,
• infraestructura de producción,
• Acceso a canalizaciones de CI/CD y,
• es decir, las obras.

Como mínimo, este ingeniero tiene acceso de "compromiso" al código fuente. Por otro lado, suponga que la organización no sigue las mejores prácticas de la ingeniería de software, como las revisiones de código y la restricción de quién puede comprometerse con la rama principal. En ese caso, el atacante puede modificar el código fuente de la organización para alterar e infectar el producto final.

Esta cuenta podría omitir manualmente algunas verificaciones de código, que también tendrán acceso a recursos valiosos (código fuente, claves SSH, secretos, credenciales, claves API, canalizaciones de CI/CD y más). Este escenario, donde este tipo de cuenta se ve comprometida, sería devastador para una organización. Las cuentas de desarrollador generalmente vienen con GitHub u otro acceso al repositorio de código.

Dropbox y Uber

En septiembre, Uber reveló que los piratas informáticos habían robado la información personal de unos 57 millones de clientes y conductores . Más tarde, descubrimos que el hackeo estaba relacionado con una credencial codificada obtenida mediante un “ ataque remoto de ingeniería social”. ”

En noviembre, Dropbox tuvo un incidente de seguridad debido a un ataque de phishing contra sus desarrolladores. Fueron atraídos a completar sus credenciales de Github mediante un correo electrónico de phishing en un sitio web falso, a pesar de la autenticación multifactor (MFA) en su lugar. Lo que da miedo a estos incidentes es que no se trataba simplemente de un usuario aleatorio de una función comercial; eran desarrolladores con acceso privilegiado a muchos datos de Dropbox y Uber.

Fatiga MFA

Ambos casos de estas dos gigantes tecnológicas implementaron la autenticación multifactor. Aún así, los piratas informáticos encuentran una manera de eludir o sortear esta medida que puede evitar la mayoría de los robos de credenciales.

En el caso de Uber, el pirata informático (supuestamente un joven de 17 años) fue creativo y ideó un método de baja tecnología pero muy efectivo: un " ataque de fatiga MFA". El atacante intenta iniciar sesión repetidamente, enviando una avalancha de solicitudes de inserción a los usuarios para pedirle a la víctima que confirme el inicio de sesión. Una vez que la víctima dejó de hacer clic en "no" en su teléfono, seguido de un "inicio de sesión autorizado", la MFA falló.

Para el caso de Dropbox, que es mucho más sencillo. El correo electrónico de phishing supuestamente se originó en la plataforma de entrega e integración de código, CircleCI . Luego, el sitio de phishing de aspecto realista engañó al desarrollador para que escribiera la credencial y la contraseña de un solo uso. Por lo tanto, MFA también fracasó.

Código Repo y más

Como vimos en estos incidentes, GitHub y otras plataformas en el espacio de canalización de integración continua/implementación continua (CI/CD) son las nuevas "joyas de la corona" para muchas empresas. Con los permisos adecuados, los atacantes pueden obtener propiedad intelectual, códigos fuente y otros datos confidenciales.

Pero no termina ahí, ya que GitHub a menudo se integra con otras plataformas, lo que permite que los "usuarios" permitidos vayan aún más lejos. Además, las cuentas de los desarrolladores suelen tener acceso al nivel más profundo, ya que mantener y desarrollar la aplicación principal puede ser parte de su responsabilidad laboral. Eso convierte a la cuenta del desarrollador en una joya de la corona para los atacantes.

Cómo mejorar sus defensas contra el phishing

Según las estadísticas de la industria , la organización promedio recibe docenas de correos electrónicos de phishing por día, y las pérdidas financieras se agravan a medida que las pérdidas por ataques de malware y ransomware aumentan el costo promedio de los ataques de phishing año tras año. Hacer frente a todas las amenazas destacadas requiere un esfuerzo adicional y, si bien no puede eliminar el riesgo de ataques de phishing, puede aprender de las tendencias e incidentes observados para administrarlos mejor.

Por ejemplo, aquí están las recomendaciones del reciente informe Zscaler :

1. Comprender los riesgos para informar mejor las decisiones políticas y tecnológicas
2. Aproveche las herramientas automatizadas y la información procesable para reducir los incidentes de phishing
3. Implemente arquitecturas de confianza cero para limitar el radio de explosión de los ataques exitosos
4. Ofrezca capacitación oportuna para generar conciencia sobre la seguridad y promover los informes de los usuarios
5. Simule ataques de phishing para identificar brechas en su programa

Aparte de las cinco mitigaciones básicas de los ataques de phishing, podemos hacer más. Por lo tanto, terminaré este artículo con consejos que puede llevar consigo. Sabiendo que los phishers eventualmente encontrarán una manera de llegar a usted , tener un mayor grado de resiliencia cibernética sería una excelente manera de comenzar.

Sugerencia n.º 1: enfoque de defensa contra el phishing de varias capas

La seguridad típica del correo electrónico contra el phishing a menudo se basa exclusivamente en un único punto de protección, como las puertas de enlace de correo electrónico y los agentes móviles/de punto final. Todo lo que pase por esa puerta dependerá de que los usuarios puedan detectar mensajes de phishing. Sin mencionar que los atacantes ahora están afilando sus armas con phishing de varias etapas.

Por el contrario, un enfoque de defensa en capas podría mejorar la resiliencia cibernética sin interrumpir la productividad empresarial. Además, habría múltiples posibilidades de detectar y atrapar un correo electrónico de phishing.

1. Alcance: evita que el correo electrónico llegue a la bandeja de entrada del usuario. Esto se puede lograr mediante la introducción de software de seguridad antiphishing, como filtros de correo no deseado. Además, se deben implementar controles contra la suplantación de identidad, tales como; Registros DMARC, DKIM y SPF.
2. Identificar: la mayoría de las violaciones de datos se inician a través de un correo electrónico de phishing debido a un error humano. Por lo tanto, el personal debe recibir capacitación periódica para identificar los últimos correos electrónicos potenciales de phishing. Esto les permitirá seguir el proceso de la empresa cuando ocurra un incidente, lo que debe incluir informar el incidente al equipo correspondiente.
3. Proteger: se deben implementar protecciones para cuando ocurran incidentes. Estas protecciones incluyen pero no se limitan a; hacer cumplir la autenticación multifactor (MFA), los administradores de contraseñas, las comprobaciones periódicas del estado de TI y las defensas de puntos finales.
4. Respuesta: el personal debe poder informar incidentes de phishing al equipo correspondiente. Debe existir un registro de seguridad dedicado y un sistema de alarma, así como un Plan de Respuesta a Incidentes.

Consejo #2: Enfoque de acceso justo a tiempo (JIT)

El acceso privilegiado implica un peligro importante, afirma Gartner . El riesgo que suponen los usuarios con privilegios permanentes persiste incluso con las herramientas PAM, y es considerable. Sugieren que los líderes de administración de identidad y acceso (IAM) utilicen soluciones justo a tiempo (JIT) para finalmente lograr una postura sin privilegios permanentes.

Gartner también proporcionó una solución para contrarrestarlo: el enfoque Just-in-Time. Por ejemplo, cuando los desarrolladores usan estas credenciales para configurar o modificar los recursos de producción, es crucial otorgarles los permisos apropiados, con solo las capacidades necesarias para completar tareas específicas.

Consejos n.° 3: revisar el reenvío de buzones

Los actores de amenazas usan cuentas comprometidas no solo para robar datos internos sino también, por ejemplo:

• Leer los correos electrónicos de los usuarios,
• Distribuir malware,
• spam,
• Aprenda sobre el usuario y para lanzar aún más el phishing de segunda etapa, y
• Reenvío de correos electrónicos a destinatarios externos.

Los atacantes pueden configurar reglas de correo electrónico para ocultar sus actividades maliciosas al usuario para ocultar los correos electrónicos entrantes en el buzón de correo del usuario comprometido. También pueden crear reglas en el buzón de correo del usuario comprometido para eliminar correos electrónicos, moverlos a una carpeta menos visible, como una carpeta RSS, o reenviar correos electrónicos a una cuenta externa.

Los correos electrónicos se pueden reenviar de forma manual o automática mediante reglas de reenvío. El reenvío automático se puede lograr de varias maneras, incluidas las reglas de la bandeja de entrada, las reglas de transporte de Exchange (ETR) y el reenvío SMTP. Si bien el reenvío manual requiere que los usuarios tomen medidas directas, es posible que deban estar al tanto de todos los correos electrónicos reenviados automáticamente.

Ultimas palabras

La realidad es que nadie puede detener el phishing por completo mientras el factor humano esté en la fórmula. Como resultado, lo mejor que podemos hacer a largo plazo es adoptar Zero Trust Architecture para la seguridad del correo electrónico. Sería un diseño mucho más granular del enfoque de defensa de múltiples capas.

Un enfoque de confianza cero para el correo electrónico puede ayudar a las organizaciones a defenderse de los ataques de suplantación de identidad de correo electrónico centrándose en la autenticación (verificación de la confianza del usuario/dispositivo) , lo que garantiza que los correos electrónicos que ingresen al entorno corporativo o lleguen a las bandejas de entrada de los usuarios finales provengan de personas, marcas y dominios legítimos. .

Existe una posición privilegiada para los desarrolladores de software en cada organización técnica. Son el eje de cualquier empresa moderna debido a su acceso ascendente a los productos distribuidos a los clientes y su acceso a los sistemas de producción y la infraestructura. La organización de seguridad fallaría si los desarrolladores no estuvieran protegidos, lo que conduciría a una catástrofe.

Si, lamentablemente, cae en un ataque de phishing, haga lo siguiente:

• Póngase en contacto con el departamento de TI y hágales saber la situación
• Restablecer contraseña para aplicaciones relacionadas
• Por favor, no utilice una contraseña repetida. En su lugar, restablezca la cuenta con la misma contraseña que las aplicaciones anteriores.
• Supervise la cuenta con atención durante 30 días

Finalmente, NIST desarrolló un método para ayudar al equipo de seguridad a ver por qué los usuarios hacen clic en el correo electrónico de phishing:

Gracias por leer. Que InfoSec te acompañe🖖.