Microsoft neutralizó los ataques a las cuentas de Office 365 que usaron un truco inteligente


  El logotipo de Office Three 65 se coloca en televisores y cajas en un centro comercial.

Microsoft neutralizó una campaña de fraude a gran escala que utilizaba dominios falsos y aplicaciones maliciosas para defraudar a los clientes en 62 países de todo el mundo.

El desarrollador de software y proveedor de servicios en la nube recibió una orden judicial la semana pasada que le permitió confiscar seis dominios, cinco de los cuales contenían la palabra "oficina". La compañía dijo que los atacantes lo usaron en una sofisticada campaña para lograr que los CEO y otros líderes empresariales de alto rango transfirieran grandes sumas de dinero a los atacantes en lugar de a partes confiables. Un compromiso anterior, conocido como BEC o correo electrónico comercial, que el mismo grupo de atacantes hizo en diciembre utilizó ataques de phishing para obtener acceso no autorizado. En los correos electrónicos se utilizaron temas comerciales generales, como informes de ganancias trimestrales. Microsoft utilizó medios técnicos para cerrarlo.

Los atacantes regresaron con un nuevo BEC que adoptó un enfoque diferente: en lugar de obtener objetivos para iniciar sesión en sitios web similares y, en consecuencia, revelar sus contraseñas, la estafa utilizó correos electrónicos dirigiendo al destinatario a Microsoft Aplicación para permitir el acceso a una cuenta de Office 365. La última estafa utilizó la pandemia COVID-19 como un atrayente.

"Este esquema permitió el acceso no autorizado sin pedir explícitamente a las víctimas que proporcionen sus credenciales directamente en un sitio web falso o una interfaz similar, como sería el caso de una campaña de phishing más tradicional", escribió Tom Burt, vicepresidente corporativo Presidente de Customer Security & Trust en Microsoft. "Después de que la víctima hizo clic en el mensaje de la aplicación web maliciosa (vea la imagen a continuación), sin querer dio permiso a los delincuentes para acceder y controlar el contenido de la cuenta de Office 365 de la víctima, incluidos correo electrónico, contactos, Notas y material almacenado en OneDrive para el almacenamiento en la nube empresarial y el sistema de gestión y almacenamiento de documentos de SharePoint para empresas. "

Microsoft

Burt citó un informe del FBI de 2019 de que los delitos de BEC causaron pérdidas de más de $ 1.7 mil millones, casi la mitad de todas las pérdidas financieras causadas por Internet. Los BEC fueron la queja más costosa al Internet Crime Center, según el informe. En algunas de las campañas mejor administradas, los ejecutivos reciben correos electrónicos que parecen provenir de gerentes, contadores u otras personas que trabajan para la organización.

Burt no reveló el nombre o la afiliación de los piratas informáticos, excepto para decir que eran inteligentes y habían llevado a cabo la campaña de diciembre.

Cuidado con OAuth

No es la primera vez que los atacantes han engañado a los objetivos para que otorguen acceso a la red a aplicaciones maliciosas. El año pasado, los investigadores publicaron al menos dos más, los cuales están diseñados para proporcionar acceso a las cuentas de Google. Uno fue llevado a cabo por piratas informáticos que trabajaban para Egipto, según un informe de Amnistía Internacional. El otro apuntó a los dispositivos iOS y Android de los tibetanos.

Ambas campañas se basaron en OAuth, un estándar abierto que permite a los usuarios dar acceso a sitios web o aplicaciones a recursos de red sin tener que proporcionarles una contraseña. Como dijo Microsoft, tales ataques a menudo pasan desapercibidos para los usuarios entrenados para detectar phishing, ya que no se requiere una contraseña para ingresar a un sitio falso. En algunos casos, la tecnología OAuth puede omitir la autenticación de dos factores, lo que requiere que los usuarios ingresen una contraseña temporal además de una contraseña o que conecten una clave de seguridad física al dispositivo que se autentica.

Burt de Microsoft no ha mencionado específicamente las aplicaciones utilizadas en el caso más reciente que están conectadas a través de OAuth. Sin embargo, en una publicación separada publicada el miércoles, Microsoft advirtió sobre "Consentimiento de phishing", en el cual los atacantes usan el mismo método OAuth.

Uno de los consejos de las contribuciones de Microsoft para prevenir tales ataques incluye habilitar la autenticación de dos factores. Siempre es una buena idea encender el dispositivo, pero no está claro cuán efectivamente la medida por sí sola previene estos ataques. Algunas redes pueden no necesitar el segundo factor para OAuth. E incluso si las redes aplican 2FA para OAuth, los objetivos que están tentados a conectar una aplicación probablemente también puedan ser tentados a proporcionar el segundo factor.

Una forma de proteger las cuentas de Google y G Suite del fraude de OAuth es habilitar la Protección avanzada, que aplica estrictamente la 2FA basada en hardware para cada nuevo dispositivo o aplicación que inicie sesión por primera vez . El programa también impide la conectividad, excepto para un puñado de aplicaciones, incluso si se proporciona una clave, por lo que puede no ser adecuado para todos los usuarios. Es posible que otras funciones de protección 2FA hagan lo mismo.

Otras formas de evitar el fraude son aprender los signos reveladores del phishing, p. Por ejemplo, palabras mal escritas, mala gramática y enlaces a sitios web que nombran una empresa o producto, pero se combinan con estas palabras que el fabricante de la aplicación o el operador del sitio web no suelen utilizar. La publicación del miércoles ofrece varias formas de detectar aplicaciones maliciosas de OAuth. Estas medidas son apenas perfectas. Debido a su efectividad y bajo costo de phishing, es uno de los métodos que usan los atacantes para comprometer las cuentas. Todavía vale la pena seguir los pasos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *