Los investigadores en PhishLabs han encontrado una nueva campaña de ataques de phishing hacia cuentas de administradores de Office 365, esto incluye a múltiples cuentas fraudulentas ocupando dominios validados para enviar correos hacia usuarios determinados pidiéndoles que hagan click en un link.
Se ha determinado que las personas detrás de estos fraudes están ocupando cuentas que pertenecen a organizaciones legítimas para mandar estos correos hacia cuentas de administradores de Office 365 para así hacer que estos usuarios caigan en el fraude, rellenando los datos de pago y sus credenciales de Office 365 en las copias de las páginas para llevar a cabo el phishing.
Al enviar los correos desde organizaciones legítimas las personas detrás de estos fraudes esperan convencer a los usuarios que dichos correos no son maliciosos o fraudulentos, si es que el usuario llega a caer en la trampa los cibercriminales no solo meten sus manos dentro de los privilegios de una cuenta de administrador de Office 365, sino que también pueden tomar las cuentas de correo de los otros usuarios dentro del dominio y crear nuevas cuentas dentro de la organización para así abusar de la credibilidad incluso con cuentas de un solo uso y así mandar una nueva ola de correos para continuar estafando otras cuentas y robar más información.
Esta es una de las maneras de trabajar de estos estafadores, ganando el control administrativo en la instalación de Office 365, creando una nueva cuenta dentro del dominio para mandar nuevos correos desde esa nueva cuenta hacia las cuentas de administradores de Office 365 de otras organizaciones.
Reforzando el uso de la autentificación de múltiples factores se pueden prevenir ataques de phishing.
La creación de cuentas separadas para distribuir las campañas de phishing es otra técnica usada por los cibercriminales para evitar ser detectados por las organizaciones comprometidas, al usar una cuenta creada el cibercriminal no se preocupa por ser descubierto con una cuenta ilegitima o por actividad sospechosa. Este tipo de ataques no son nada nuevo a pesar de ser más creativas, este tipo de casos se pueden prevenir con el uso de la autentificación de múltiples factores dentro del ambiente corporativo.
Se sugiere que las cuentas administrativas deban estar protegidas por medidas multifactor fuertes como tokens o biométricas para protegerse de ataques sofisticados que los medios tradicionales no puedan detectar, estos son los mejores métodos que las organizaciones pueden usar para protegerse de estos ataques.
La autentificación de múltiples factores previene un 99,9% de los ataques de este tipo.
El desafío actual con este tipo de ataques es gracias a los cambios de dominios, la naturaleza de las palabras usadas e incluso las páginas maliciosas escondidas detrás de captchas, lo que hace extremadamente difícil o a veces imposible para los correos proteger a sus usuarios.
Por ahora estar atento y tener el ojo entrenado para detectar el contenido malicioso es importante para que las empresas no caigan dentro de estos ataques de phishing, otro tipo de controles que pueden ayudar a minimizar el peligro sería minimizar el impacto de que las credenciales sean robadas con la autentificación de múltiples factores y tener un buen control de cuando se encuentre con actividad sospechosa.
Fuente: New phishing campaign targeting Office 365 administrator accounts