El FBI advierte sobre ataques vishing que roban cuentas corporativas

El FBI advierte sobre ataques vishing que roban cuentas corporativas

La Oficina Federal de Investigaciones (FBI) ha emitido una notificación de advertencia de ataques vishing en curso que intentan robar cuentas corporativas y credenciales para el acceso a la red y la escalada de privilegios de empleados estadounidenses e internacionales.

Vishing (también conocido como phishing de voz) es un ataque de ingeniería social en el que los atacantes se hacen pasar por una entidad confiable durante una llamada de voz para persuadir a sus objetivos de que revelen información confidencial, como credenciales bancarias o de inicio de sesión.

Según TLP: WHITE  Private Industry Notification (PIN) compartida el viernes  [PDF], los actores de amenazas están utilizando plataformas de Protocolo de voz sobre Internet (VoIP) (también conocidas como servicios de telefonía IP) para apuntar a empleados de empresas de todo el mundo, ignorando su nivel corporativo.

"Durante las órdenes de refugio en el lugar y distanciamiento social de COVID-19, muchas empresas tuvieron que adaptarse rápidamente a los entornos y la tecnología cambiantes", se lee en el PIN. "Con estas restricciones, es posible que el acceso a la red y la escalada de privilegios no se controlen por completo".

Sitios de phishing utilizados para recopilar credenciales de VPN

Durante los ataques, los atacantes engañaron a los empleados objetivo para que iniciaran sesión en una página web de phishing que controlaban para recopilar sus nombres de usuario y contraseñas.

En varios casos, una vez que obtuvieron acceso a la red de la empresa, los actores de amenazas obtuvieron un mayor acceso a la red de lo esperado, lo que les permitió escalar privilegios utilizando las cuentas de los empleados comprometidos.

Esto les permite obtener un mayor acceso a las redes infiltradas, y a menudo pueden generar un daño financiero significativo.

"En un caso, los ciberdelincuentes encontraron a un empleado a través de la sala de chat de la empresa y lo convencieron de que iniciara sesión en la página falsa de VPN operada por los ciberdelincuentes", dijo el FBI.

"Los actores utilizaron estas credenciales para iniciar sesión en la VPN de la empresa y realizaron un reconocimiento para localizar a alguien con mayores privilegios.

"Los ciberdelincuentes buscaban empleados que pudieran realizar cambios de nombre de usuario y correo electrónico y encontraron un empleado a través de un servicio de nómina basado en la nube.

"Los ciberdelincuentes utilizaron un servicio de mensajería en una sala de chat para contactar y robar las credenciales de inicio de sesión de este empleado".

Segunda advertencia de vishing corporativo en un año

Esta es la segunda advertencia que alerta de ataques vishing activos dirigidos a empleados emitidos por el FBI desde el inicio de la pandemia después de que un número creciente de ellos se hayan convertido en teletrabajadores.

En agosto de 2020, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un aviso conjunto advirtiendo a los trabajadores remotos de una campaña de vishing en curso dirigida a empresas de varios sectores industriales de EE. UU.

"A mediados de julio de 2020, los ciberdelincuentes comenzaron una campaña de vishing, obteniendo acceso a las herramientas de los empleados en varias empresas con objetivos indiscriminados, con el objetivo final de monetizar el acceso", dijeron las agencias en ese momento.

"Utilizando credenciales vished, los ciberdelincuentes minaron las bases de datos de la empresa víctima para obtener información personal de sus clientes para aprovechar otros ataques".

En los ataques de agosto, los actores de amenazas también utilizaron sitios creados con fines malintencionados que clonaban las páginas de inicio de sesión de VPN internas de las empresas objetivo, lo que también les permitió recopilar autenticación de dos factores (2FA) o contraseñas de un solo uso (OTP).

Después de engañar a las víctimas para que aprobaran las indicaciones de OTP o 2FA, los estafadores obtuvieron el control de sus teléfonos celulares y omitieron la autenticación de 2FA y OTP en un  ataque de intercambio de SIM .

Para ayudar a las empresas y empleados a mitigar este tipo de ataques de phishing, el FBI compartió una serie de recomendaciones:

  • Implemente la autenticación de múltiples factores (MFA) para acceder a las cuentas de los empleados a fin de minimizar las posibilidades de un compromiso inicial.
  • Cuando se contratan nuevos empleados, el acceso a la red debe otorgarse en una escala de privilegios mínimos. La revisión periódica de este acceso a la red para todos los empleados puede reducir significativamente el riesgo de comprometer puntos vulnerables y / o débiles dentro de la red.
  • El escaneo y la supervisión activos en busca de modificaciones o accesos no autorizados pueden ayudar a detectar un posible compromiso con el fin de prevenir o minimizar la pérdida de datos.
  • La segmentación de la red debe implementarse para dividir una red grande en varias redes más pequeñas, lo que permite a los administradores controlar el flujo del tráfico de la red.
  • Los administradores deben tener dos cuentas: una cuenta con privilegios de administrador para realizar cambios en el sistema y la otra cuenta utilizada para correo electrónico, implementación de actualizaciones y generación de informes.

¿QUE TE PARECIÓ ESTA NOTICIA? DÉJANOS TU COMENTARIO!

No Comments

Post A Comment

× Contáctanos