Durante mucho tiempo se ha sostenido que una forma segura para que cualquiera pueda protegerse a sí mismo (y a su empleador) de ser víctima de un ciberataque no era descargar ningún archivo adjunto inesperado en un correo electrónico, pero según el especialista en seguridad del correo electrónico Mimecast, los ciberdelincuentes parecen estar alejándose. de esta táctica imperecedera.
En los primeros seis meses del año, Mimecast dijo que observó un aumento masivo en los ataques de correo electrónico que no entregaban archivos adjuntos con malware, sino enlaces a servicios legítimos para compartir archivos basados en la nube, como Google Drive o SharePoint. Dijo que los volúmenes de enlaces maliciosos enviados por correo electrónico aumentaron más del 130% en el primer trimestre calendario de 2024 y del 53% en el segundo trimestre, en comparación con los mismos períodos en 2023.
En su recién publicado Informe global de inteligencia sobre amenazas 2024 H1Mimecast dijo que los actores de amenazas probablemente estaban usando más capas de enlaces y obligando a sus víctimas a pasar por varios obstáculos, como responder a CAPTCHA o participar en desafíos falsos de autenticación multifactor (MFA) para ofuscar mejor sus actividades y frustrar la detección o investigación.
Mimecast dijo que sus últimos datos demostraron cuán crítica puede ser la atención a la seguridad del correo electrónico para una organización. Mick Paisley, director de seguridad y resiliencia de la organización, explicó: “Las herramientas de colaboración y correo electrónico a menudo se consideran simplemente centros de costos, pero esto pasa por alto su papel esencial en la seguridad cibernética.
“Al optimizar la seguridad del correo electrónico, las organizaciones pueden lograr importantes eficiencias de costos y al mismo tiempo garantizar una protección sólida contra amenazas emergentes. Este enfoque es crucial no sólo para minimizar los riesgos cibernéticos sino también para mantener la productividad y la seguridad de su organización”.
Los autores del informe instaron a las organizaciones a
El ser humano siempre ha sido un factor en la identificación de riesgos para una organización, ya que proporciona un acceso más directo a información relevante o a una red. Dirigirse a los empleados sigue siendo un vector de ataque muy exitoso y es poco probable que cambie como táctica altamente adaptable.
Campañas maliciosas
En una de las campañas observadas en la telemetría de Mimecast, que tuvo lugar en marzo y abril de 2024, un actor de amenazas apuntó de manera oportunista a destinatarios con correos electrónicos que contenían un enlace a un dominio de LinkedIn que los dirigía a contenido estático pero malicioso. Casi 120.000 correos electrónicos de este tipo quedaron atrapados en sus sistemas, y todos ellos notificaban a la víctima que necesitaba revisar un mensaje de audio.
En este caso, hacer clic en el enlace generó una cadena de redireccionamientos que conducían a un CAPTCHA de Cloudflare y desde allí a una página de inicio de sesión falsa de Microsoft Outlook.
El atacante también utilizó una cuenta de Amazon Simple Email Service (SES) para darle a sus señuelos una mejor oportunidad de pasar los mecanismos de seguridad del correo electrónico.
En un segundo ejemplo, el actor de amenazas originó sus ataques a través de cuentas comprometidas de Office 365 que pertenecen a empresas de la misma industria que sus objetivos, lo que aumenta la probabilidad de que la víctima los considere legítimos. El objetivo en este caso era la recolección de credenciales.
En una tercera campaña distinta, un enlace de phishing incrustado en un correo electrónico dirigía a las víctimas a abordar un problema de cumplimiento de seguridad del dispositivo, nuevamente con el objetivo de robar información valiosa.
Dijo que los volúmenes de enlaces maliciosos enviados por correo electrónico aumentaron más del 130% en el primer trimestre calendario de 2024 y del 53% en el segundo trimestre, en comparación con los mismos períodos en 2023.
Estafas respaldadas por IA
Los datos de Mimecast también contienen nuevos conocimientos sobre cómo los actores de amenazas se están volviendo cada vez más expertos en incorporar inteligencia artificial en sus estafas de phishing.
En una campaña, observó 380.000 correos electrónicos con un PDF adjunto que, al abrirse, mostraba una página alojada en el servicio de desarrollo Replit AI (probablemente creado como parte de una prueba gratuita) para recopilar credenciales. Los atractivos de esta campaña generalmente se centraban en temas relacionados con recursos humanos, como completar evaluaciones anuales o solicitudes de vacaciones.
En otro, se notificó a las víctimas de una deducción o cargo inminente (muchos de los señuelos se hacían pasar por PayPal) y se les indicó que se pusieran en contacto con un centro de llamadas habilitado por inteligencia artificial donde la automatización del modelo de lenguaje grande (LLM) logró engañarlos para que entregaran credenciales o información financiera.
“El abuso de la IA generativa y el aprendizaje automático mejorará la orientación y el contenido de las campañas de phishing”, escribieron los autores del informe, “lo que impulsará la necesidad del defensor de contar con indicadores técnicos para poder detectar y responder a ataques nuevos y novedosos”.