BLOG

Suplantación de servidores del FBI en campaña de spearphishing

En el mundo digital actual, distinguir entre amigos y enemigos nunca fue tan difícil. Imagina que recibes un correo electrónico de una dirección y servidor legítimos del FBI, advirtiendo sobre una amenaza inminente a tu infraestructura- ¿tu primer impulso sería asumir que el remitente del FBI en realidad era un hacker? Probablemente no. spearphishing

Más de 100.000 destinatarios de correos electrónicos recientes tuvieron que enfrentarse a esta misma pregunta cuando recibieron un correo electrónico de “eims@ic.fbi.gov“, que corresponde a los Servicios de Información de Justicia Criminal del FBI. El correo electrónico procedía de un servidor legítimo del FBI, por lo que accedió por encima de las herramientas de seguridad del correo electrónico y llegó a las bandejas de entrada, alarmando justificadamente a los destinatarios.

Pero el correo electrónico no fue enviado por el FBI. Al parecer, fue enviado por un hacker con la aparente intención de dañar la reputación de un investigador de seguridad, identificándolo falsamente en el mensaje como un actor amenazante.

Correo electrónico comprometido en la cadena de suministro… el spearphishing más aterrador

Uno de los tipos de ataque por correo electrónico más sofisticados consiste en secuestrar una cuenta de terceros de confianza para hacerla pasar por un contacto genuino y autorizado. Esta técnica es aterradora, ya que los atacantes se dirigen específicamente a una organización y a un individuo desde un contacto de confianza y validado, llevando el engaño digital a otro nivel, pudiendo engañar fácilmente a la víctima humana y burlar las tecnologías de seguridad de correo electrónico existentes. 

En este caso, estos correos electrónicos procedían de un servidor de correo electrónico de confianza del FBI, no de una dirección de correo electrónico falsa de este organismo, y el actor de la amenaza se aprovechó de un error de codificación en un sitio web del FBI para enviar el mensaje falso.  A pesar de la ciberhigiene, de la existencia de un gateway de correo electrónico tradicional y de la formación en antiphishing, la realidad es que se está convirtiendo en una tarea humana casi imposible distinguir un dominio legítimo de uno malicioso, especialmente cuando un proveedor o socio de confianza ha sido suplantado.

En esencia, los atacantes de hoy en día están obligando a las organizaciones a elegir entre confiar ciegamente en sus proveedores o arriesgarse potencialmente a la interrupción de las actividades del negocio. Este reto de seguridad ya no es un problema a escala humana, y las empresas deben confiar en tecnologías avanzadas e innovadoras para proteger sus entornos digitales a medida que los ataques dirigidos aumentan en número, escala y complejidad.  

Darktrace puede prevenir este tipo de táctica de los atacantes. En un episodio similar, Darktrace descubrió un ataque en el que los atacantes realizaban secuestros de cuentas de varios proveedores de confianza y utilizaban estas credenciales comprometidas para enviar correos electrónicos de phishing adaptados a la empresa objetivo. Estos correos electrónicos parecían contener enlaces de almacenamiento de archivos a documentos de RFP de socios de confianza, pero en realidad eran un medio para la recolección adicional de credenciales de Microsoft 365. 

Debido a que esta organización tenía la Respuesta Autónoma de Darktrace para el correo electrónico, Antigena Email (AGE), en modo pasivo, los atacantes pudieron utilizar este correo electrónico malicioso para comprometer con éxito una cuenta interna, obtener información sensible de la misma y utilizar las credenciales para enviar más correos electrónicos maliciosos en toda la empresa.

Si AGE se hubiera desplegado por completo en este caso, habría evitado el compromiso inicial eliminando los enlaces, impidiendo que este correo electrónico llegara a las bandejas de entrada de los empleados o moviendo inmediatamente el mensaje a la “Papelera”. Dado que estos correos electrónicos imitaban con éxito las solicitudes de los proveedores e incluso de un empleado interno, las herramientas tradicionales de seguridad del correo electrónico de la organización los consideraron benignos, y sólo Darktrace detectó el ataque como malicioso. 

IA de Autoaprendizaje: entender las comunicaciones, el contexto y los comportamientos   

En lugar de un enfoque que se centre en los ataques históricos y clasifique las direcciones de correo electrónico en listas binarias “buenas” y “malas”, las organizaciones deben adoptar enfoques de seguridad que puedan revisar innumerables aspectos del correo electrónico -desde los detalles del contenido del mensaje hasta una vasta comprensión de los hábitos de comunicación típicos de los remitentes y los destinatarios- para determinar lo que debe y no debe llegar a las bandejas de entrada de los destinatarios. Las herramientas de seguridad actuales deben comprender las comunicaciones, el contexto y los comportamientos de las empresas para combatir los ataques sofisticados y de ingeniería social. 

Las organizaciones no pueden confiar en la educación o en las herramientas tradicionales de seguridad del correo electrónico que únicamente detienen las anomalías observables por el ser humano o las amenazas históricas conocidas. Afortunadamente, incluso si estos correos electrónicos proceden de direcciones legítimas de organismos gubernamentales autorizados como el FBI, la IA de Autoaprendizaje puede evaluar de forma autónoma muchos factores, incluidas las sutiles desviaciones en el lenguaje, para detectar cuando algo no está del todo bien.

 

Por Marcus Fowler, Director of Strategic Threat

spearphishing spearphishingspearphishing spearphishing spearphishing spearphishing spearphishing spearphishing spearphishing spearphishing

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *