Estas plataformas de colaboración en equipo resultaron invaluables para las fuerzas de trabajo remotas e híbridas durante los últimos dos años, y están aquí para quedarse.

Se espera en 2022 un gran ataque de ransomware que comience realizando una campaña de phishing a través de una de estas plataformas de colaboración. El phishing es una de las formas más comunes de obtener acceso inicial a una red en ataques de ransomware. Debido a que estas aplicaciones son parte de las actividades diarias de los empleados es muy probable que los hackers intenten atraparlos con la guardia baja a través de mensajes engañosos en estas plataformas.

En Slack, por ejemplo, los intrusos pueden enviar mensajes falsos con enlaces, archivos maliciosos o solicitudes de información privada si obtienen acceso a la URL de webhook única del canal. Si un usuario hace clic en el enlace incorrecto o sin saberlo abre un archivo sospechoso y el daño está hecho. Una vez obtenido el acceso intentarán moverse lateralmente dentro de una red corporativa y aumentar los privilegios para que finalmente puedan cifrar servidores y estaciones de trabajo.

Uso de “deep learning” para crear mensajes phishing convincentes

Investigadores en seguridad se pusieron a trabajar y se dieron cuenta del poder del “deep learning” (aprendizaje profundo) en 2021, cuando las pruebas demostraron que la inteligencia artificial podía escribir mejores correos electrónicos de phishing que los humanos. Spear phishing es un ataque más específico centrado en un individuo o grupo en particular dentro de una organización. Si bien los mensajes de phishing genéricos son más fáciles de detectar, la naturaleza altamente específica del phishing selectivo hace que sea más difícil de descubrir. Estos correos electrónicos suelen hacer referencia a nombres específicos y sus roles dentro de la organización, además de hacerse pasar por ejecutivos de alto nivel de la empresa o socios proveedores de confianza.

Los experimentos involucraron a investigadores de seguridad que enviaron mensajes de phishing a 200 colegas. Los mensajes fueron elaborados tanto por humanos como por modelos de deep learning. Los resultados mostraron que los mensajes escritos con GPT-3 (modelo de lenguaje de OpenAI, que es capaz de programar, diseñar y hasta conversar como humano) fueron más efectivos que los humanos para persuadir a los destinatarios de hacer clic en los enlaces que contenían.

El deep learning es un campo de la IA (Inteligencia Artificial) que utiliza redes neuronales para extraer características de alto nivel de los datos. Los ciber atacantes podrán usar plataformas de deep learning para obtener información personal de las redes sociales y otras fuentes para generar correos electrónicos de phishing aún más personalizados.

La aparición de los deepfakes en el phising

Los deepfakes son archivos de audio o video sintéticos generados mediante algoritmos de deep learning. La mayoría de las personas reconoce el uso  de esta tecnología de forma inofensiva para crear videos divertidos, a menudo reemplazando la cara de una persona con otra en un video existente. Sin embargo, hay usos mucho más peligrosos de esta tecnología.

Una posibilidad en 2022 es la aparición del phishing profundo (deep phishing). El cibercrimen creará audio o video haciéndose pasar por un CEO, propietario u otro empleado de alto nivel de la empresa para que las personas divulguen información confidencial o tomen otra acción deseada que podría conducir a la extorsión, la apropiación de cuentas o la extracción de datos.

La probabilidad de ser engañado por un mensaje de correo de voz que suena exactamente como un líder de la empresa es muy alta. El mismo destino le depara al video, dado que los directores ejecutivos y los propietarios suelen tener una fuerte presencia pública esto proporciona gran cantidad de datos que pueden usar a favor los atacantes.

Las apariciones en video de seminarios web, los podcasts y otros medios se pueden usar como entradas para ayudar a algoritmos de deep learning a generar videos o audio con mayor precisión haciéndose pasar por alguien.

Suplantación de identidad en la cadena de suministro

Varios ataques cibernéticos recientes destacan por buscar explotar eslabones débiles en las cadenas de suministro para comprometer objetivos altamente lucrativos.

Las campañas de phishing se están dirigiendo cada vez más a terceros, incluidos socios, vendedores y proveedores en 2022. Vulnerar una cuenta de correo electrónico en ellos puede comenzar el aprovechamiento de las relaciones de confianza en terceros para enviar correos electrónicos maliciosos a objetivos atractivos o de alto nivel en las organizaciones con las que interactúan.

El dominio del socio o proveedor a menudo será de confianza de forma predeterminada en la empresa objetivo, lo que hace que sea mucho más difícil para una puerta de enlace de correo electrónico segura marcar o detectar una dirección de correo electrónico falsificada o correos electrónicos de phishing.

El phishing en la cadena de suministro es una posibilidad incluso sin el compromiso de la cuenta de un tercero. Simplemente falsificar a un socio puede ser suficiente para engañar a alguien y obtener acceso a la red o información adicional como un número de cuenta bancaria u otra información personal que se puede usar en un ataque de phishing selectivo.

Grupos de ransomware en evolución

El vínculo entre el phishing y el ransomware es tan fuerte que es importante intentar predecir cómo se desarrollarán estos ataques en los próximos meses. La aparición de BlackCat a fines de 2021 sirvió como la primera señal de advertencia de qué esperar.

El ransomware siempre se ha centrado en la extorsión: en su forma más temprana, las tácticas se centraron en aprovechar el miedo que se genera al cifrar servidores, archivos y estaciones de trabajo, ocasionando que las víctimas paguen. En los últimos dos años se agrego una doble extorsión amenazando con la publicación de los datos obtenidos.

En 2022, se espera que los grupos de ransomware agreguen otra capa a sus tácticas de extorsión para presionar aún más a las víctimas para que realicen pagos. La triple extorsión agrega la amenaza de un ataque DDoS en la infraestructura de red de las víctimas. En un mundo donde el tiempo de inactividad es increíblemente costoso, muchas organizaciones considerarán pagar para evitar esta consecuencia.

Otra evolución a esperar es que el cibercrimen se desplace cada vez más hacia otras criptomonedas para recibir pagos de rescate. Bitcoin se puede rastrear, y las fuerzas del orden emplean varias técnicas analíticas para asociar direcciones Bitcoin a direcciones IP. Teniendo en cuenta la naturaleza dominante de esta criptomoneda y sus vulnerabilidades de privacidad, espere ver más ciber actores exigiendo pagos a través de monedas con fuertes capacidades de privacidad como Monero y Zcash.

Más por venir…

Eso concluye la primera parte de esta serie de dos partes sobre ataques en correo electrónico y predicciones de phishing para 2022. Si hay algo que aprender aquí, es que el phishing evolucionará para convertirse en una amenaza aún más sofisticada. Confiar solo en empleados conscientes de la seguridad no será suficiente.

Las empresas necesitarán una solución de seguridad de correo electrónico avanzada y de nueva generación como parte de su estrategia de seguridad para ayudar a combatir las amenazas modernas.

En NEKT podemos ayudarte a estar preparado para enfrentar este reto, contamos con tecnología de punta que utiliza inteligencia artificial para detectarlas y mitigarlas. ¡Contáctanos!

Fuente: IronScales Blog, febrero 2022

The post 5 predicciones de seguridad del correo electrónico y phishing para 2022 (Parte 1) appeared first on NEKT Cyber.

La primera parte de esta serie de predicciones cubrió la posible aparición de phishing profundo, la evolución de las pandillas de ransomware y más. Esto es lo que 2022 puede tener reservado desde la perspectiva de la seguridad del correo electrónico y phishing.

Accediendo desde un correo electrónico personal a entornos corporativos

Con las campañas de phishing creciendo en volumen y sofisticación, la mayoría de las empresas reconocen la necesidad de promover la concientización sobre el phishing entre sus empleados como parte de su estrategia de seguridad.

Por lo general, se indica a los empleados que busquen señales de correos electrónicos maliciosos que lleguen a las cuentas de correo electrónico de su empresa, pero eso no mitiga totalmente las amenazas. Los emails con un blanco específico son más difíciles de detectar sin una solución específica que use inteligencia artificial para este fin. Más preocupante aún,  es la difuminada frontera que se genera al trabajar remotamente o desde casa al combinar el uso de  correo electrónico personal, corporativo y ambientes o aplicaciones de colaboración.

En 2022, se espera ver que los ciber criminales comiencen a centrar su atención en acceder a las direcciones de correo electrónico personales, computadoras portátiles y teléfonos inteligentes de los empleados que comparten acceso directo o indirecto a las redes, servicios y activos corporativos. Es  muy probable que puedan lanzar ataques de ransomware o malware dirigido a direcciones de correo personal, que cuando se instala en el dispositivo de un usuario, brinda capacidades de control remoto y acceso eventual a la infraestructura dentro de los entornos corporativos.

Mover el “queso” a la nube

La adopción del computo en la nube por parte de las empresas continuará en 2022,  las posibles reducciones de costos y una mayor flexibilidad en la infraestructura de TI son las principales motivaciones para la adopción de  esquemas de nube.

Ahora, sin embargo, las preocupaciones de seguridad están empujando a las organizaciones a reemplazar la infraestructura local con servicios basados ​​en la nube más allá de los beneficios mencionados. Los ataques de ingeniería social aumentaron 270% en 2021, y las campañas de phishing representaron la mayor parte de ese aumento, se espera que esta tendencia continúe durante 2022, ya que los cibercriminales reconocen cada vez más el poder del phishing  como punto de entrada a las redes empresariales.

Al mover más servicios empresariales clave a la nube, los equipos de seguridad cibernética creen que pueden reducir el daño potencial infligido por los ataques de phishing. La naturaleza interconectada de la infraestructura local a menudo permite a los atacantes tener rienda suelta sobre un entorno completo e instalar malware fácilmente. La esperanza es que incluso si los ataques de phishing exitosos comprometen un servicio, ejecutar todo en la nube como un ambiente aislado ayuda a evitar los peores impactos de estos ataques que permiten la infiltración a entornos locales completos.

Pago por credenciales de acceso

Un artículo interesante e igualmente impactante apareció en Vice el año pasado describiendo cómo una empresa ofreció 500 dólares a empleados en los Estados Unidos a cambio de detalles de inicio de sesión en cuentas corporativas.

La empresa también prometió acceso a una plataforma propietaria en la que los empleados podrían comparar sus ingresos con otros trabajadores de nivel similar en diferentes organizaciones. Los investigadores de seguridad descubrieron una gran cantidad de otros dominios sospechosos que atraían a los empleados con ofertas similares.

Si bien existen consecuencias legales por compartir las credenciales de inicio de sesión corporativas, algunos empleados podrían sentirse atraídos por las recompensas monetarias y considerarlo de bajo riesgo. Después de todo, con tantas violaciones de datos en los últimos años, sus credenciales de inicio de sesión en al menos una cuenta probablemente estén en la dark web.

Fingir ignorancia sería relativamente trivial a menos que las autoridades lograran rastrear los pagos y las comunicaciones entre los empleados y quienes pagan por el acceso. Se espera ver este tipo de campañas de phishing cada vez más frecuentes en 2022. Las recompensas monetarias y el acceso a información valiosa amplifican la oferta a través de mensajes maliciosos, siendo una combinación que a algunas personas les resultará difícil no caer.

Desafortunadamente, el resultado probable es que aquellos que revelan sus credenciales no obtengan nada en absoluto y los ciber actores utilizarán sus datos de inicio de sesión para lanzar ataques en la red corporativa de su empleador.

Phishing basado en máquinas, en varias fases

Las noticias sobre una evolución preocupante en phishing surgieron a principios de 2022 cuando Microsoft descubrió una campaña de varias etapas utilizando un truco de registro legítimo de dispositivos. El ataque en cuestión utiliza credenciales comprometidas de inicio de sesión de los empleados a través de mensajes de phishing tradicionales.

La siguiente fase involucró phishing basado en máquinas que engaña a la red de destino para que acepte un dispositivo controlado por hackers. Gracias a las políticas BYOD pudieron registrar su dispositivo en la red utilizando credenciales robadas aparentemente legítimas y el  servicio de Azure Active Directory asumió que el dispositivo era legítimo. Una vez dentro de la red, los cibercriminales enviaron un conjunto de mensajes de phishing dirigidos a destinatarios internos específicos.

Las organizaciones y/o usuarios que no implementaron autenticación multifactorial para el registro de nuevos dispositivos se convirtieron en víctimas de este ataque de varias fases. Estos ataques se incrementaran a medida que se desarrolle 2022.

Phishing como herramienta geopolítica

Por último, el phishing como herramienta de influencia geopolítica seguirá desplegándose como una forma de influir en las elecciones de otros países. La intervención rusa en la carrera presidencial estadounidense de 2016 está bien documentada. En ella se usaron mensajes de phishing dirigido para apuntar a cuentas de correo electrónico pertenecientes a miembros de la campaña presidencial de Hillary Clinton y revelar detalles de esas cuentas.

Aparentemente, se utilizaron tácticas de interferencia similares con campañas de phishing en la carrera presidencial de Estados Unidos de 2020. Otros países han tomado nota del potencial del phishing como herramienta geopolítica. El Equipo de Respuesta a Emergencias Informáticas de Singapur emitió un aviso sobre la posibilidad de que el phishing interfiera con elecciones importantes.

Conclusiones finales

Otras cosas significativas y sorprendentes sucederán en la seguridad del correo electrónico y phishing durante 2022. La realidad es que los actores de amenazas siempre buscan innovar sus tácticas y encontrar formas de eludir los controles existentes. Es por eso que las organizaciones necesitan más que un “gateway” de seguridad para correo electrónico (SEG), necesitan una solución de seguridad de correo electrónico dedicada y de autoaprendizaje y con detección a través de inteligencia artificial que se adapte continuamente a las últimas tácticas y evite que estos mensajes dañinos lleguen a los empleados.

En NEKT podemos ayudarte a estar preparado para enfrentar estos retos, contamos con tecnología de punta para detectarlas y mitigarlas. ¡Contáctanos!

Fuente: IronScales Blog, febrero 2022

The post 5 predicciones de seguridad del correo electrónico y phishing para 2022 (Parte 2) appeared first on NEKT Cyber.