Cómo las plataformas de mensajería instantánea se convirtieron en un lugar para los ataques de phishing

El phishing es una de las formas más comunes de ataques cibernéticos ya que los métodos son simples y altamente efectivos. A medida que los ciberdelincuentes evolucionan, buscan otras plataformas para explotar en las que las personas aún no desconfían.

En los últimos años, las plataformas de colaboración se han dirigido cada vez más en forma de mensajería instantánea. No es ninguna sorpresa; Desde el comienzo de la pandemia, el uso de herramientas de mensajería como Slack o Microsoft Teams se ha disparado. En 2021, casi el 80 % de los trabajadores dijeron que usan herramientas de colaboración para el trabajo, frente al 44 % desde la pandemia. Junto con la migración general a la nube, el software de mensajería instantánea se ha convertido desde entonces en la norma para la oficina híbrida, lo que lo convierte en una vía atractiva para los actores de amenazas y las campañas de phishing.

Esto es lo que los usuarios de herramientas como Slack o Microsoft Teams deben saber sobre los ataques de phishing en las plataformas de mensajería instantánea y los pasos para evitar una invasión exitosa.

Un frente de seguridad débil y una falsa sensación de confianza

A pesar de su uso generalizado, la mayoría de las plataformas de mensajería instantánea carecen de seguridad. Las organizaciones pueden tener algún tipo de seguridad básica implementada, pero esta protección es generalmente una capa genérica de seguridad respaldada por los proveedores de correo electrónico. Si bien algunas organizaciones cuentan con algunas capas adicionales de seguridad, muchas aún necesitan implementar soluciones sólidas de ciberseguridad para proteger sus plataformas de mensajería.

Para empeorar las cosas, la mayoría de las empresas ahora confían en estas plataformas de mensajería instantánea para las comunicaciones internas, inculcando una falsa creencia en la confianza y la seguridad en muchos usuarios finales. Los empleados sienten que están menos expuestos a amenazas potenciales porque las comunicaciones son internas y controladas. Además, estas plataformas suelen utilizarse para mensajes menos formales y urgentes. La combinación de un falso sentido de confianza y el deseo de hacer que el lugar de trabajo híbrido sea exitoso puede hacer que las personas pierdan la guardia y brindarles a los piratas informáticos la oportunidad perfecta para atacar.

Eche una red amplia y utilice la ingeniería social

Los actores de amenazas usan nuevas tecnologías para difundir grandes volúmenes de mensajes de phishing automatizados simultáneamente, maximizando el impacto y causando el mayor caos posible. Históricamente, los atacantes suelen ser sofisticados en la personalización de sus inversiones y en los ataques de phishing, y su atención se ha centrado en las víctimas del «pez gordo». Ahora el ajuste es automático y se usa para objetivos aún menos obvios o lucrativos, como: B. Negocios más pequeños que carecen de las medidas de seguridad adecuadas. Los kits de phishing también están disponibles en la web oscura, lo que facilita que incluso el pirata informático más inexperto ejecute una campaña de phishing exitosa.

En estos casos, los piratas informáticos confían en la ingeniería social para acceder a las víctimas. Los mensajes que provocan miedo o una reacción inmediata de un usuario juegan un buen papel aquí. Esto puede ocurrir cuando un atacante, haciéndose pasar por una fuente confiable, envía un mensaje a un usuario de la cuenta para alertarlo sobre una brecha comercial o del sistema o una actualización que requiere una acción inmediata de su parte, como una actualización de seguridad. B. un cambio de contraseña o cuenta.

Un ejemplo práctico de esto es cuando Slack introdujo la función de «comunidades abiertas» en su plataforma, que permitía a los usuarios agregar contactos desde fuera de su organización si ya tenían una cuenta de Slack. Muchos asumieron que esto todavía era seguro ya que se estaba haciendo a través de la plataforma Slack, pero ese no era el caso.

En 2017, los piratas informáticos emularon una cuenta de «Slackbot» para enviar mensajes de phishing a los usuarios y recopilar su información financiera. Los usuarios deben tener cuidado con los intentos de ingeniería social y cuestionar la legitimidad de los mensajes antes de responder.

Entonces, ¿qué pueden hacer los usuarios de mensajería instantánea?

Como siempre, la conciencia es el primer paso para combatir un ataque de phishing. Las organizaciones deben ser conscientes de que los intentos de phishing son más comunes en estas plataformas y priorizar la seguridad. Depende de los líderes de la empresa hacer que la educación y la capacitación en seguridad estén disponibles y sean obligatorias para los empleados. La capacitación debe educar a los usuarios sobre cómo reconocer un intento de phishing y el mejor curso de acción cuando ocurre. Así como los empleados saben que deben tener cuidado con los intentos de phishing cuando leen un correo electrónico, también deben tener cuidado con un mensaje en Slack o Microsoft Teams. Cuanto más sepan los empleados acerca de un intento de phishing, mejor preparados estarán para detectarlo y prevenirlo.

Afortunadamente, las soluciones de seguridad para proteger las herramientas de mensajería instantánea ya están disponibles. Estas son las mismas soluciones de seguridad que las organizaciones pueden, y deben, usar para proteger su correo electrónico en muchos casos. Estas herramientas de seguridad generalmente están disponibles a través de API, son fáciles de implementar y pueden ayudar a proteger una plataforma de mensajería instantánea tanto internamente como cuando se comunica con terceros.

Finalmente, los usuarios nunca deben proporcionar credenciales, información financiera o cualquier otra información confidencial en ninguna plataforma de chat. Los empleados siempre deben cuestionar las solicitudes extrañas recibidas en el chat, incluso si parecen ser de alguien que conocen. Debe estar atento a los enlaces que ingresan a la plataforma de mensajería instantánea, especialmente cuando solicita detalles confidenciales como contraseñas u otra información.

Rotem Shemesh es gerente principal de marketing de productos para soluciones de seguridad en fecha.