Se ha detectado una estrategia que están siguiendo los ciber-delincuentes utilizando el correo electrónico con una variante, envían formularios de Google para evadir los filtros de correo electrónico, sabemos que los correos electrónicos son una misión de reconocimiento continua que nos exige no obviar y estar alertas, aun cuando tengamos nuestra ciberseguridad contratada con terceros, en muchas ocasiones los que se dan cuenta de algún ataque no detectado por las grandes implementaciones de seguridad son los usuarios.
En esta ocasión los ciber-delincuentes están utilizando Google Forms para dirigirse a empresas minoristas, de telecomunicaciones, sanitarias, energéticas y de fabricación en una aparente campaña de reconocimiento para identificar objetivos para el seguimiento del ataque de compromiso por correo electrónico empresarial, si bien es algo sencillo, también es preocupante que precisamente algo tan común, se convierta en el vector de acceso.
Es una realidad que muchas personas utilizamos los servicios de Google, desafortunadamente, a menudo se abusa de dichos servicios para la distribución de malware, el phishing de credenciales y, en este caso, como parte del fraude por correo electrónico, por experiencia sé que Google es una fuente confiable en muchas organizaciones, por lo que los actores de amenazas aprovechan esa brecha para sus ataques
Los atacantes están aprovechando los formularios de Google para eludir los filtros de contenido de seguridad del correo electrónico basados en palabras clave, en el ambiente se maneja que es una campaña híbrida que combina los beneficios de la escala y la legitimidad al aprovechar los servicios de Google con ataques de ingeniería social y se manifiesta con miles de mensajes entregados predominantemente a los sectores minoristas, de telecomunicaciones, atención médica, energía y manufactura, principalmente.
A inicio de diciembre de 2020 se detectó esta tendencia, sin embargo, esta táctica no es nueva, se ha observado de forma rutinaria en campañas de phishing de credenciales, que permite a los actores redactar y enviar correos electrónicos para evadir los filtros de correo electrónico de entrada y salida.
Técnica de ataque
El contenido señuelo que están utilizando en dichos correos electrónicos es que transmiten un sentido de urgencia, y los sujetos son nombres únicos de ejecutivos de nivel de una organización objetivo específica, sin ningún intento de utilizar la suplantación de nombres para mostrar, en el texto “Exigen una ‘Tarea rápida’ del usuario” en respuesta al actor que dice que se dirige a una reunión o que está demasiado preocupado para manejar la tarea por sí mismo, entonces, el actor le pregunta cortésmente al usuario si ‘tiene un momento’, visto en forma muy común en el fraude con tarjetas de regalo.
Una vez que una víctima hace clic en los enlaces en el correo electrónico, conduce a un formulario predeterminado “sin título” alojado en la infraestructura de Google Forms, el objetivo principal de los atacantes es obtener una respuesta de la víctima, con el pretexto de que la encuesta está rota o no es lo que esperaban.
También se ha identificado un objetivo secundario mediático, es probable que el formulario sirva como un sensor para ver simplemente si alguien completa su formulario, funcionando como una técnica de reconocimiento para eliminar a los usuarios que pueden ser susceptibles de hacer clic en un enlace sospechoso encontrado en un correo electrónico, analizando el proceso claro.
Sin duda nos encontraremos con personas que crean que esto no existe o que es una nota falsa, bueno déjenme decirles que estos mensajes son una amenaza porque responder o completar el formulario benigno puede llevar a acciones de seguimiento dirigidas a una audiencia más receptiva.
Por ejemplo, se da en la suplantación de identidad de C-suite, la cual inicia con una campaña de reconocimiento de correo electrónico diseñada para permitir la selección de objetivos para una actividad de amenaza de seguimiento.
Analicemos:
El tono de urgencia en los correos electrónicos es consistente con los actores, por lo tanto, queremos garantizar la conciencia de seguridad de estos intentos como una indicación o advertencia para los clientes y la comunidad de seguridad.
La ingeniería social es omnipresente en los ataques transmitidos por correo electrónico, no obstante, se emplea de manera diferente en el malware y el phishing de credenciales que en las campañas BEC o Compromiso del correo electrónico empresarial en español.
Otra técnica es que, en una campaña de malware, la ingeniería social se usa en el correo electrónico inicial o de contacto, por el contrario, en BEC, la ingeniería social se usa durante todo el ciclo de vida del fraude, aun cuando es raro observar a los actores que entregan malware después del intercambio de mensajes benignos.
Otras estafas BEC o compromiso del correo electrónico empresarial, dicho en español
No vayamos lejos en la semana pasada, se rastreó varios esquemas de fraude que aprovechaban los correos electrónicos con el tema de la vacuna COVID-19, estos incluyen estafas de compromiso de correo electrónico empresarial, mensajes con archivos adjuntos maliciosos utilizados para entregar malware y correos electrónicos de phishing diseñados para recopilar credenciales, incluidos nombres de usuario y contraseñas para Microsoft Office 365 persisten en estos esquemas de fraude.
Triste es ver la calidad humana cuando los ataques de ingeniería social que aprovechan los temas de las vacunas han aumentado en los últimos dos meses a medida que las empresas farmacéuticas han aumentado la producción, sé ha manifestado a gran escala la intención de utilizar las noticias de la vacuna COVID-19 y los rumores de una posible fusión o adquisición como una forma de dirigirse a los ejecutivos, incluidos aquellos con títulos como vicepresidente, gerente general y director gerente.
Por esta razón es muy importante que los que se incluyen en este tipo de ataques tengan cercanía con sus áreas de ciberseguridad, con el fin de mantenerse actualizados, recuerden, ese pensamiento de a mí nunca me pasara, tengo todos los recursos que paran estos ataques, mi dinero y posición me hace inmune a estos fraudes, buen la triste realidad es que no es así, la ingeniería social utilizada encontrara la forma de entrar burlando los mecanismos de seguridad y apoyándose en la vulnerabilidad humana que consiste es un mensaje llamativo, que les interese y en consecuencia se dé clic don ellos quieren, todavía el año pasado me encontré con un encargado de cuentas empresariales que le dio clic en uno de estos y suplantaron su identidad para la compra de vacunas que nunca existió.
Estoy convencido de que mucho de ello es cuestión de criterio y sin duda nuestras actividades no nos permiten estar siempre al tato de todo esto, por lo que les recomiendo que en sus empresas realicen un boletín semanal y se distribuya por medio de la intranet, y con ello llegar pronto al elemento humano para incrementar los niveles de seguridad.
Me gustaría comentarles que si eleva el nivel de detección y las restricciones en el correo electrónico en muchas ocasiones nos podemos volver inoperantes, por ello incrementemos en nivel de seguridad con los usuarios con capacitación sobre ciberseguridad.
Reciban muchos saludos.
Su amigo,
Visitas: 12
