Aumentan los ataques a cuentas cloud de Microsoft 365 de empresas
- Actualidad
Los investigadores de Proofpoint han observado un alarmante aumento en los ataques dirigidos a altos ejecutivos de grandes empresas para tomar el control de sus cuentas cloud de Microsoft 365. En los últimos seis meses han sido atacadas más de 100 organizaciones de todo el mundo mediante el envío de unos 120.000 emails de phishing.
Según informa la firma de seguridad, estos ataques se realizan utilizando EvilProxy, un kit de phishing basado en una arquitectura de proxy inverso, que permite a los ciberdelincuentes robar credenciales protegidas por autenticación multifactor (MFA) y cookies de sesión. Aunque el número de organizaciones que usan la MFA ha crecido mucho en los últimos años, también se ha producido un aumento en las apropiaciones de cuentas que disponen de esta protección debido a la proliferación de kits y herramientas de phishing. De acuerdo con Proofpoint, al menos el 35% de los usuarios comprometidos durante el año pasado tenía MFA activada.
Con los kits de código abierto se ha desarrollado el phishing como servicio (PhaaS), lo que permite a los posibles suplantadores de credenciales, incluso con pocas aptitudes técnicas, pagar por herramientas preconfiguradas, como EvilProxy, para servicios online como Gmail, Microsoft, Dropbox, Facebook, Twitter, etc.
Combinando el phishing Adversary-in-the-Middle con otros métodos avanzados de toma de control de cuentas, los atacantes consiguen evitar estas medidas de seguridad. En concreto, uno de los métodos observados que es especialmente eficaz es una nueva automatización avanzada con la que los ciberdelincuentes pueden determinar con precisión y en tiempo real si un usuario víctima de phishing es, por ejemplo, un directivo. De esta manera, pueden obtener acceso inmediato a la cuenta de su interés e ignorar otros perfiles menos lucrativos.
Como subraya la compañía, los ciberdelincuentes están buscando constantemente nuevas formas de robar credenciales, y sus métodos y técnicas se adaptan a los nuevos productos y metodologías de ciberseguridad para seguir siendo efectivos. "La popularidad de las amenazas de proxy inverso, mucho más potentes que los kits de phishing de hace tiempo, han dejado al descubierto lagunas en las estrategias de defensa de las organizaciones", afirma.
Para protegerlas de las avanzadas amenazas híbridas, que combinan el correo electrónico y la nube, Proofpoint recomienda tomar medidas como bloquear y controlar los mails maliciosos dirigidos a los usuarios, identificar la toma de control de cuentas y el acceso no autorizado a recursos dentro del entorno cloud corporativo, aislar las sesiones potencialmente maliciosas iniciadas por links incrustados en emails, y educar a los usuarios para que sean conscientes de los posibles riesgos.
