El robo de información de datos personales (como “nombre”, “número de seguro social” y “detalles de la tarjeta de crédito”) con fines fraudulentos se denomina “robo de identidad”.
Este tipo de delito cibernético a menudo se denomina “robo de identidad financiera”, “robo de identidad médica” o “robo de identidad criminal”, cada uno de los cuales tiene un impacto único en las víctimas.
Los analistas de seguridad de Microsoft observaron recientemente una campaña en la que los phishers explotaban activamente los servicios de alojamiento de archivos para realizar phishing de identidad.
Los piratas informáticos aprovechan los servicios legítimos de alojamiento de archivos
El equipo de ciberseguridad de Microsoft ha informado de un aumento significativo en los ciberataques sofisticados en los que los actores de amenazas explotan plataformas de alojamiento de archivos confiables (SharePoint, OneDrive, Dropbox) a través de “técnicas avanzadas de evasión”.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Estos atacantes utilizan específicamente “mecanismos de restricción de acceso” y “permisos de archivos de solo visualización” para eludir las medidas de seguridad tradicionales como los “sistemas de explosión de correo electrónico” y la “autenticación multifactor (MFA)”.
La cadena de ataque generalmente implica que un atacante comprometa la cuenta de un proveedor confiable, comparta un archivo malicioso utilizando un sistema de notificación legítimo (como “no-reply@dropbox(.)com”) y comienza cuando se dirige a una organización.
Cadena de ataque (Fuente – Microsoft)
Estos archivos compartidos a menudo se disfrazan con nombres urgentes o contextuales (como “Informe de auditoría 2024” o “Soporte de presentación de TI 2024”) y tienen restricciones avanzadas.
Estas limitaciones se explican a continuación. –
Sólo el destinatario previsto puede acceder a ellos. Se requiere una nueva autenticación mediante contraseña de un solo uso (OTP). Hay una ventana de acceso por tiempo limitado. Esto evitará que el archivo se descargue.
Esta técnica conduce principalmente a “ataques BEC” que permiten “fraude financiero”, “fugas de datos no autorizadas” y “movimiento horizontal entre puntos finales de la red”.
Los atacantes explotan la “confianza implícita” asociada con los “servicios legítimos para compartir archivos”.
Estas campañas intentan evadir los protocolos de seguridad mientras se hacen pasar por “comunicaciones comerciales de rutina”, especialmente si el remitente comprometido ya está incluido en la lista blanca de las “políticas de Exchange Online” de la organización objetivo.
En ataques sofisticados de robo de identidad, los usuarios encuentran un “proceso de compromiso de varios pasos” cuando acceden a “archivos compartidos”.
Primero, se mostrará un mensaje de confirmación solicitando una “dirección de correo electrónico” seguido de una “OTP” aparentemente legítima enviada desde una “dirección de Microsoft falsificada” (“(email protected)(.)com”).
Al ingresar a la 'OTP', a los usuarios se les muestra lo que parece ser una vista previa de un documento legítimo con un enlace falso 'Mostrar mensaje'.
Al hacer clic en este enlace, se le redireccionará a la página de phishing “AiTM”. La página fraudulenta manipula a los usuarios para que ingresen las credenciales de su cuenta: una “contraseña” y una “respuesta de autenticación multifactor (MFA)”, según el informe de Microsoft.
Una vez que se han obtenido todos estos tokens de autenticación comprometidos, un atacante puede lanzar ataques BEC secundarios que pueden usarse para “suplantar a un usuario legítimo”, “acceder a información confidencial” o “iniciar transacciones financieras fraudulentas o incluso “difundir el ataque”. en toda la red de una organización”. “
Recomendaciones
Todas las recomendaciones se enumeran a continuación: –
Habilite las políticas de acceso condicional en Entra. Utilice señales basadas en ID para la evaluación del inicio de sesión. Protéjase con dispositivos compatibles e IP confiable. Comience con los valores predeterminados de seguridad, si lo desea. Realizar evaluación continua de acceso. Utilice el inicio de sesión sin contraseña con claves FIDO2. Habilite la protección de red con Defender for Endpoint. Implemente protección contra amenazas móviles en sus dispositivos. Bloquee sitios web maliciosos con Edge y bloquee correos electrónicos con Defender 365. Supervise la actividad sospechosa con Entra ID Protection. Investigar inicios de sesión sospechosos. Educar a los usuarios sobre los riesgos del intercambio seguro de archivos.
Estrategias para proteger su sitio web y API de ataques de malware => Seminario web gratuito
Hackers Abusing Legitimate File Hosting Services For Sophisticated Phishing Attack
