El phishing, el robo de credenciales de usuarios o datos confidenciales mediante ingeniería social, ha sido una amenaza importante desde los primeros días de Internet y continúa afectando a las organizaciones en la actualidad, representando mas del 30 % de todas las infracciones conocidas . Y con la migración masiva al trabajo remoto durante la pandemia, los piratas informaticos han intensificado sus esfuerzos para robar las credenciales de inicio de sesión mientras aprovechan el caos y la falta de verificación de usuarios en persona.

Esto ha llevado al resurgimiento de la técnica vishing de la vieja escuela, que, al igual que el phishing en línea, implica el uso de ingeniería social por teléfono para robar información confidencial. Como resultado, los ataques de vishing han ido en aumento, con el 69 % de las empresas experimentandolos en 2021, frente al 54 % en 2020. Estos ataques a menudo toman la forma de estafas de trabajo o soporte técnico y pueden ser increíblemente convincentes En agosto de 2020, el FBI junto con la CISA emitieron una advertencia sobre los usuarios remotos que eran el objetivo de los atacantes que falsificaban los números comerciales de las organizaciones y se hacían pasar por la mesa de servicio de TI.

Vishing sin pasar por 2FA

Uno de los aspectos mas preocupantes del vishing es la capacidad de los atacantes para eludir las medidas de seguridad de autenticación de dos factores (2FA). 2FA es una forma popular de autenticación de múltiples factores que requiere que los usuarios proporcionen dos tipos de información: una contraseña y un código de un solo uso enviado por SMS.

Los atacantes logran esto haciéndose pasar por un representante de soporte y solicitando el código 2FA de la víctima por teléfono. Si la víctima proporciona el código, el atacante puede obtener acceso completo a su cuenta, lo que podría comprometer la información financiera o personal.

Atacantes que se hacen pasar por soporte de la mesa de ayuda

Un caso común es cuando las personas reciben una alerta emergente que afirma que su dispositivo ha sido violado o infectado con malware y que se requiere soporte telefónico profesional para solucionar el problema. Alternativamente, las víctimas pueden recibir una llamada de un supuesto representante de soporte técnico de un proveedor de software de confianza, alegando que se ha detectado malware en su maquina. El atacante intentara convencer al usuario de que descargue el software de acceso remoto con el pretexto de los representantes de la mesa de ayuda de TI corporativa. Esta es la fase final de la estafa, después de la cual es un jaque mate para las víctimas desprevenidas y un posible día de pago para los atacantes.

Los atacantes que se hacen pasar por la mesa de ayuda claramente estan funcionando: en julio de 2020, Twitter experimentó una importante brecha de seguridad cuando los piratas informaticos utilizaron una estafa vishing para acceder con éxito a docenas de cuentas de alto perfil, incluidas las de Barack Obama, Joe Biden, Jeff Bezos y Elon Musk. . Los atacantes usaron estas cuentas para twittear una estafa de bitcoin, lo que resultó en el rapido robo de mas de $100,000. A diferencia de las estafas tradicionales, estos ataques se dirigen a personas cuidadosamente seleccionadas mediante la recopilación de información extensa sobre ellas de las redes sociales y otras fuentes públicas. Esta información luego se usa para identificar a los empleados que tienen mas probabilidades de cooperar y tener acceso a los recursos deseados, momento en el que los atacantes estan preparados y listos para causar estragos.

Un giro cuando los atacantes llaman a la mesa de ayuda y se hacen pasar por usuarios finales

Los ataques de ingeniería social se fabrican cuidadosamente con los datos recopilados y se pueden usar para hacerse pasar por un usuario final en una llamada a la mesa de ayuda. Un atacante experimentado puede obtener facilmente respuestas a preguntas de seguridad de varias fuentes, especialmente sabiendo que los usuarios finales colocan demasiada información personal en las redes sociales y la web.

Microsoft dijo que LAPSUS$ , un conocido grupo de amenazas, llama a la mesa de ayuda de una organización objetivo e intenta convencer al personal de soporte para que restablezca las credenciales de una cuenta privilegiada. El grupo usaría la información recopilada previamente, haría que una persona de habla inglesa hablara con la mesa de ayuda. Serían capaces de responder a indicaciones de recuperación comunes como primera calle en la que vivía o apellido de soltera de la madre a partir de los datos recopilados para convencer al personal de la mesa de ayuda de la autenticidad.

En otro intento de llegar a la mesa de ayuda, se utilizó holgura. Electronic Arts tenía 780 GB de código fuente descargado por piratas informaticos que se suponía que también eran LAPSUS$ . Los actores de amenazas utilizaron las cookies de autenticación para hacerse pasar por la cuenta de un empleado que ya había iniciado sesión y acceder al canal Slack de EA, luego convencieron a un empleado de soporte de TI para que les otorgara acceso a la red interna de la empresa.

¿Cómo puede su Help Desk saber quién esta llamando realmente ?

Verificar la identidad del usuario en la era vishing es mas importante que nunca. Con el aumento de los ataques cibernéticos y la ingeniería social, es fundamental que las organizaciones cuenten con medidas de seguridad para salvaguardar a sus empleados, proteger su información confidencial y evitar el acceso no autorizado.

Una forma efectiva de protegerse contra este tipo de ataques es implementar una solución de mesa de servicio segura , que permita la verificación de cuentas de usuario con datos existentes mas alla de la autenticación basada en el conocimiento. Esto se puede lograr enviando un código único al número de teléfono móvil asociado con la cuenta del usuario o usando los servicios de autenticación existentes para verificar a las personas que llaman.

Mesa de ayuda

Hacer cumplir la autenticación de usuario es otro aspecto clave de Specops Secure Service Desk . Esto garantiza que la información y el restablecimiento de contraseñas solo se ofrezcan a usuarios autorizados, lo cual es esencial para proteger las cuentas de alta seguridad y cumplir con los requisitos reglamentarios. Con Secure Service Desk, puede eliminar la posibilidad de suplantación de identidad del usuario al solicitar la verificación con algo que el usuario tiene y no solo confiar en algo que el usuario, o un atacante, pueda saber.

Ademas de verificar y hacer cumplir la autenticación del usuario, una mesa de servicio segura también permite el restablecimiento o desbloqueo seguro de las cuentas de los usuarios. Esto se hace solo después de que el usuario haya sido verificado con éxito y se puede combinar con una herramienta de restablecimiento de contraseña de autoservicio para ayudar con el desbloqueo de cuentas y el proceso de restablecimiento de contraseña.

Dado que las estafas vishing no muestran signos de desaceleración, invertir en la solución Specops Secure Service Desk podría ser un paso fundamental para las organizaciones que buscan proteger a su gente incluso de los intentos de ingeniería social mas sutiles. Al inculcar una forma completa y eficaz de verificar la identidad del usuario, hacer cumplir la autenticación del usuario y restablecer o desbloquear las cuentas de los usuarios, las posibles víctimas pueden estar seguras de que siempre sabran quién esta llamando realmente .

FUENTE: THN

INFORMÁTICA FORENSE
error: Content is protected !!