Cómo los ataques de phishing continúan explotando COVID-19
Armorblox dijo que los correos electrónicos de phishing prometían compensación, resultados de pruebas y otros señuelos relacionados con el coronavirus para engañar a los usuarios desprevenidos.
Las campañas de phishing a menudo usan eventos en las noticias como una forma de atraer a posibles víctimas, especialmente con COVID-19. A lo largo de este año, los ciberdelincuentes han utilizado todos los aspectos del virus para explotar el miedo, la ansiedad y la curiosidad naturales de las personas sobre este brote mortal.Una Nuevo informe de la firma de ciberseguridad Armorblox Analizamos cuatro campañas de phishing relacionadas con el coronavirus que surgieron este año y sugerimos formas de defenderse de ellas.
Mirar: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (República tecnológica)
Los estafadores detectaron una oportunidad para el COVID-19 a principios de año, lo que los llevó a incorporar la pandemia en sus ataques de phishing.A mediados de abril, el equipo de análisis de amenazas de Google Se detectaron 18 millones de correos electrónicos de phishing y malware con temática de coronavirus todos los días.
A medida que 2023 llega a su fin, estos ataques por correo electrónico continúan. Algunos están mal diseñados y no son convincentes, pero muchos están diseñados profesionalmente y son difíciles de distinguir de la información legítima.
Phishing de alivio de COVID del IRS
Durante esta campaña, un correo electrónico pretendía proporcionar un documento sobre el Fondo de Ayuda COVID del IRS con un enlace al documento. Al hacer clic en el enlace, accederá al formulario de SharePoint para completar. El formulario no solo solicita las credenciales de su cuenta de correo electrónico, sino también datos como números de seguro social, números de licencia de conducir y números de identificación fiscal, todos los cuales serán capturados por los atacantes.
Imagen: Armorblox
La campaña utilizó una variedad de tácticas de ingeniería social con gran éxito. El asunto de la «Actualización del Fondo de Ayuda Covid del IRS» y el nombre del remitente de los «Fondos de Ayuda Covid del IRS» son específicos y están diseñados para obtener una respuesta rápida de los destinatarios. Las referencias a autoridades como el IRS también están diseñadas para impulsar una acción inmediata. El enlace de phishing apunta a una página de SharePoint filtrada pero legítima para eludir las protecciones de seguridad comunes que bloquean los dominios maliciosos.
Estafa de compensación COVID del FMI
En este correo electrónico, los destinatarios de reclamos de correo electrónico de phishing deben recibir una compensación por COVID Fondo Monetario Internacional (Fondo Monetario Internacional). Para obtener esta compensación, se les pide a los usuarios que respondan a los correos electrónicos con más detalles, que eventualmente serán tomados por los atacantes.
Imagen: Armorblox
Al no contener un enlace real a una página de phishing, este correo electrónico pasa a través de los filtros de seguridad que bloquean los enlaces sospechosos. El correo electrónico también incluye un hilo completo de conversaciones de los directores del FMI que afirman que 125 beneficiarios han sido preseleccionados para la compensación del FMI por el COVID, una forma de hacer que la estafa parezca legítima. El asunto del correo electrónico y el número de referencia de «Re: Compensación del FMI» también pretendían dar legitimidad al mensaje.
Estafa de resultado de prueba COVID
Aquí, el correo electrónico falsifica un mensaje automático del consultorio de un médico que promete los resultados de la prueba COVID del destinatario. Al hacer clic en el enlace resultante, se intenta instalar un archivo RAR infectado con malware en el sistema.
Imagen: Armorblox
El uso de «Asistencia médica» como el nombre del remitente, la mención del nombre de la enfermera y el suministro de los resultados de la prueba de COVID-19 tienen como objetivo hacer que el correo electrónico parezca legítimo. El mensaje en sí contiene una contraseña/PIN para acceder al archivo adjunto con los resultados de la prueba, lo que le da al usuario una falsa sensación de seguridad.
simulación de SharePoint
En esta estafa, los correos electrónicos se hacen pasar por mensajes automáticos de SharePoint que pretenden proporcionar documentos sobre las solicitudes de COVID-19. Al hacer clic en el enlace del archivo, la víctima accede a un sitio engañoso alojado en AWS.
Imagen: Armorblox
El nombre del remitente y la plantilla de correo electrónico para «Sharepoint Online» imitan la información que normalmente se ve en los correos electrónicos automatizados de aplicaciones en la nube legítimas. El asunto del correo electrónico usa el nombre del destinatario seguido de «Solicitud COVID 19» en un intento de crear miedo y ansiedad. El mensaje en sí venía con una nota a pie de página que afirmaba que el enlace solo era válido para los destinatarios de correo electrónico, una forma clave de adormecer a las personas con una falsa sensación de seguridad.
Para proteger a su organización y a sus usuarios de este tipo de estafas de phishing, Armorblox proporciona las siguientes pautas:
- Siga las mejores prácticas de administración de contraseñas y 2FAImplemente la autenticación de dos factores (2FA) en todas las cuentas comerciales y personales posibles. Utilice un administrador de contraseñas para almacenar las contraseñas de su cuenta. No duplique contraseñas entre cuentas ni use contraseñas comunes como su fecha de nacimiento o contraseñas obvias como «contraseña123» o «SuNombre123», etc.
- Prueba de visión rigurosa para correos electrónicos confidencialesManejar los correos electrónicos relacionados con el COVID de manera prudente y racional. Pruebe visualmente el correo electrónico, incluida la verificación del nombre del remitente, la dirección de correo electrónico del remitente, el idioma del correo electrónico y cualquier incoherencia lógica en el correo electrónico.
- Crea tu propia línea de autenticaciónIntente replicar 2FA, incluso en un sentido amplio, para correos electrónicos relacionados con COVID que esperan que usted tome medidas. Por ejemplo, ¿su médico le acaba de enviar por correo electrónico los resultados de la prueba en un archivo adjunto? Llame o envíe un mensaje de texto al médico y asegúrese de que haya enviado el correo electrónico.
- Mejore la detección nativa de amenazas de correo electrónico con controles adicionales Mejore las funciones de seguridad de correo electrónico existentes, como Protección en línea de Exchange Para Office 365 o Plan de Protección Avanzada Para G Suite), invierta en tecnologías que adopten un enfoque muy diferente para la detección de amenazas. En lugar de buscar listas estáticas y bloquear dominios maliciosos conocidos, estas tecnologías deberían aprender de los datos organizacionales personalizados y poder bloquear amenazas de ingeniería social como el fraude de nómina, la suplantación de identidad y las estafas por correo electrónico basadas en COVID.
