Phish inmobiliario traga miles de credenciales de Microsoft 1,000

Se han descubierto miles de credenciales de Microsoft 365 almacenadas en texto sin formato en servidores de phishing, como parte de una campaña de recolección de credenciales inusual y dirigida contra los profesionales de bienes raíces. Los ataques muestran el riesgo creciente y en evolución que presentan las combinaciones tradicionales de nombre de usuario y contraseña, dicen los investigadores, especialmente a medida que el phishing continúa creciendo en sofisticación, evadiendo la seguridad básica del correo electrónico. 

Los investigadores de Ironscales descubrieron la ofensiva, en la que los ciberatacantes se hicieron pasar por empleados de dos conocidos proveedores de servicios financieros en el sector inmobiliario: First American Financial Corp. y United Wholesale Mortgage. Los ciberdelincuentes están utilizando las cuentas para enviar correos electrónicos de phishing a agentes inmobiliarios, abogados de bienes raíces, agentes de títulos y compradores y vendedores, dijeron los analistas, en un intento de llevarlos a páginas de inicio de sesión falsificadas de Microsoft 365 para capturar credenciales.

Los correos electrónicos alertan a los destinatarios de que los documentos adjuntos deben revisarse o que tienen nuevos mensajes alojados en un servidor seguro, según un Publicación del 15 de septiembre en la campaña de Ironscales. En ambos casos, los enlaces incrustados dirigen a los destinatarios a las páginas de inicio de sesión falsas y les piden que inicien sesión en Microsoft 365.

Una vez en la página maliciosa, los investigadores observaron un giro inusual en los procedimientos: los atacantes intentaron aprovechar al máximo su tiempo con las víctimas tratando de obtener varias contraseñas de cada sesión de phishing.

“Cada intento de enviar estas credenciales 365 devolvía un error y pedía al usuario que intentara de nuevo”, según el informe de los investigadores. “Los usuarios generalmente envían las mismas credenciales al menos una vez más antes de probar variaciones de otras contraseñas que podrían haber usado en el pasado, proporcionando una mina de oro de credenciales para que los delincuentes las vendan o las usen en ataques de fuerza bruta o de relleno de credenciales para acceder a cuentas financieras o de redes sociales populares”.

El cuidado puesto en la selección de víctimas con un plan bien pensado es uno de los aspectos más notables de la campaña, dice Eyal Benishti, fundador y CEO de Ironscales, a Dark Reading.

“Esto va tras personas que trabajan en bienes raices (agentes de bienes raíces, agentes de títulos, abogados de bienes raíces), utilizando una plantilla de phishing de correo electrónico que falsifica una marca muy familiar y un llamado a la acción familiar ('revisar estos documentos seguros' o 'leer este mensaje seguro')”, dice.

No está claro hasta dónde se extenderá la campaña, pero la investigación de la compañía mostró que al menos miles han sido objeto de suplantación de identidad hasta el momento.

"Se desconoce el número total de personas que suplantaron la identidad, solo investigamos algunos casos que se cruzaron con nuestros clientes", dice Benishti. “Pero solo a partir de la pequeña muestra que analizamos, se encontraron más de 2,000 conjuntos únicos de credenciales en más de 10,000 intentos de envío (muchos usuarios proporcionaron las mismas credenciales o credenciales alternativas varias veces)”.

El riesgo para las víctimas es alto: las transacciones relacionadas con bienes raíces a menudo son objeto de estafas de fraude sofisticadas, especialmente transacciones involucrando compañías de títulos de bienes raíces.

“Según las tendencias y las estadísticas, es probable que estos atacantes quieran usar las credenciales para permitirles interceptar/dirigir/redirigir transferencias electrónicas asociadas con transacciones de bienes raíces”, según Benishti.

Microsoft Safe Links se cae en el trabajo

También notable (y desafortunado) en esta campaña en particular, aparentemente falló un control básico de seguridad.

En la ronda inicial de phishing, la URL en la que se les pidió a los objetivos que hicieran clic no trató de ocultarse, notaron los investigadores: al pasar el mouse sobre el enlace, se mostró una URL de bandera roja: "https://phishingsite.com /carpeta…[punto]shtm.”

Sin embargo, las oleadas posteriores ocultaron la dirección detrás de una URL de enlaces seguros, una función que se encuentra en Microsoft Defender y que se supone que escanea las URL para detectar enlaces maliciosos. Safe Link sobrescribe el enlace con una URL diferente utilizando una nomenclatura especial, una vez que el enlace se escanea y se considera seguro.

En este caso, la herramienta solo hizo que fuera más difícil inspeccionar visualmente el mensaje "¡esto es un phishing!" y también permitió que los mensajes superaran más fácilmente los filtros de correo electrónico. Microsoft no respondió a una solicitud de comentarios.

“Safe Links tiene varias debilidades conocidas y generar una falsa sensación de seguridad es la debilidad significativa en esta situación”, dice Benishti. “Safe Links no detectó ningún riesgo o engaño asociado con el enlace original, pero reescribió el enlace como si lo hubiera hecho. Los usuarios y muchos profesionales de la seguridad adquieren una falsa sensación de seguridad porque existe un control de seguridad, pero este control es en gran medida ineficaz”.

También se debe tener en cuenta: en los correos electrónicos de United Wholesale Mortgage, el mensaje también se marcó como una "Notificación de correo electrónico seguro", incluía un descargo de responsabilidad de confidencialidad y lucía un cartel falso "Protegido por Proofpoint Encryption".

Ryan Kalember, vicepresidente ejecutivo de estrategia de seguridad cibernética de Proofpoint, dijo que su empresa no es ajena al secuestro de marca y agregó que el uso falso de su nombre es, de hecho, una técnica de ataque cibernético conocida que los productos de la empresa buscan.

Es un buen recordatorio de que los usuarios no pueden confiar en la marca para determinar la veracidad de un mensaje, señala: "Los actores de amenazas a menudo fingen ser marcas conocidas para atraer a sus objetivos a divulgar información", dice. “A menudo también se hacen pasar por proveedores de seguridad conocidos para agregar legitimidad a sus correos electrónicos de phishing”.

Incluso los chicos malos cometen errores

Mientras tanto, es posible que no sean solo los phishers de OG los que se benefician de las credenciales robadas.

Durante el análisis de la campaña, los investigadores detectaron una URL en los correos electrónicos que no deberían haber estado allí: una ruta que apunta a un directorio de archivos de la computadora. Dentro de ese directorio estaban las ganancias ilícitas de los ciberdelincuentes, es decir, cada combinación de correo electrónico y contraseña enviada a ese sitio de phishing en particular, guardada en un archivo de texto claro al que cualquiera podría haber accedido.

“Esto fue totalmente un accidente”, dice Benishti. "El resultado de un trabajo descuidado, o más probablemente de la ignorancia si están usando un kit de phishing desarrollado por otra persona, hay toneladas disponibles para comprar en el mercado negro".

Los servidores de páginas web falsas (y los archivos de texto sin cifrar) se apagaron o eliminaron rápidamente, pero como señaló Benishti, es probable que el kit de phishing que utilizan los atacantes sea el responsable de la falla de texto sin cifrar, lo que significa que "seguirán poniendo a disposición sus credenciales robadas". al mundo."

Credenciales robadas, más sofisticación alimenta el frenesí de phishing

La campaña pone en perspectiva de manera más amplia la epidemia de phishing y recolección de credenciales, y lo que significa para la autenticación en el futuro, señalan los investigadores.

Darren Guccione, CEO y cofundador de Keeper Security, dice que el phishing continúa evolucionando en términos de su nivel de sofisticación, que debería actuar como un advertencia de clarín a las empresas, dado el elevado nivel de riesgo.

“Los malos actores en todos los niveles están adaptando las estafas de phishing utilizando tácticas basadas en la estética, como plantillas de correo electrónico de aspecto realista y sitios web maliciosos para atraer a sus víctimas, luego se apoderan de su cuenta cambiando las credenciales, lo que impide el acceso del propietario válido”. le dice a Dark Reading. “En un ataque de suplantación de identidad de proveedor [como este], cuando los ciberdelincuentes usan credenciales robadas para enviar correos electrónicos de phishing desde una dirección de correo electrónico legítima, esta táctica peligrosa es aún más convincente porque el correo electrónico se origina en una fuente familiar”.

La mayoría de los phishes modernos también pueden pasar por alto las puertas de enlace de correo electrónico seguras e incluso suplantar o subvertir proveedores de autenticación de dos factores (2FA), agrega Monnia Deng, directora de marketing de productos de Bolster, mientras que la ingeniería social en general es extraordinariamente efectiva en una época de nube, movilidad y trabajo remoto.

“Cuando todo el mundo espera que su experiencia en línea sea rápida y fácil, el error humano es inevitable y estas campañas de phishing son cada vez más inteligentes”, dice. Agrega que tres macrotendencias son responsables de las cifras récord de ataques relacionados con el phishing: “El cambio a plataformas digitales impulsado por la pandemia para la continuidad del negocio, el creciente ejército de script kiddies que pueden comprar fácilmente kits de phishing o incluso comprar phishing como un servicio de suscripción y la interdependencia de las plataformas tecnológicas que podrían crear un ataque a la cadena de suministro a partir de un correo electrónico de phishing”.

Por lo tanto, la realidad es que la Dark Web alberga grandes cachés de nombres de usuario y contraseñas robados; Los grandes volcados de datos no son infrecuentes y, a su vez, estimulan no solo el relleno de credenciales y los ataques de fuerza bruta, sino también esfuerzos adicionales de phishing.

Por ejemplo, es posible que los actores de amenazas usaran información de una brecha reciente de First American Financial para comprometer la cuenta de correo electrónico que usaron para enviar los phishing; ese incidente expuso 800 millones de documentos que contenían información personal.

“Las infracciones o filtraciones de datos tienen una vida media más larga de lo que la gente piensa”, dice Benishti. “La primera brecha financiera estadounidense ocurrió en mayo de 2019, pero los datos personales expuestos pueden usarse como armas años después”.

Para frustrar este bullicioso mercado y los especuladores que operan dentro de él, es hora de mirar más allá de la contraseña, agrega.

“Las contraseñas requieren una complejidad y una frecuencia de rotación cada vez mayores, lo que lleva al agotamiento de la seguridad”, dice Benishti. “Muchos usuarios aceptan el riesgo de sentirse inseguros por el esfuerzo de crear contraseñas complejas porque hacer lo correcto se vuelve muy complejo. La autenticación multifactor ayuda, pero no es una solución a prueba de balas. Se necesita un cambio fundamental para verificar que usted es quien dice ser en un mundo digital y obtener acceso a los recursos que necesita”.

Cómo combatir el tsunami de phishing

Con los enfoques generalizados sin contraseña aún lejos, Kalember de Proofpoint dice que los principios básicos de concienciación del usuario son el punto de partida para luchar contra el phishing.

“Las personas deben abordar todas las comunicaciones no solicitadas con precaución, especialmente aquellas que solicitan al usuario que actúe, como descargar o abrir un archivo adjunto, hacer clic en un enlace o revelar credenciales como información personal o financiera”, dice.

Además, es fundamental que todos aprendan y practiquen una buena higiene de contraseñas en todos los servicios que usan, agrega Benishti: "Y si alguna vez se le notifica que su información puede haber estado involucrada en una violación, restablezca todas sus contraseñas para cada servicio que use . De lo contrario, los atacantes motivados tienen formas más ingeniosas de correlacionar todo tipo de datos y cuentas para obtener lo que quieren”.

Además, Ironscales recomienda pruebas regulares de simulación de phishing para todos los empleados, y llamó a una regla general de banderas rojas para buscar:

• Los usuarios podrían haber identificado este ataque de phishing mirando de cerca al remitente
• Asegúrese de que la dirección de envío coincida con la dirección de retorno y que la dirección sea de un dominio (URL) que generalmente coincida con la empresa con la que tratan.
• Busque mala ortografía y gramática.
• Pase el mouse sobre los enlaces y mire la URL/dirección completa del destino, vea si se ve inusual.
• Siempre tenga mucho cuidado con los sitios que le solicitan credenciales no asociadas con ellos, como el inicio de sesión de Microsoft 365 o Google Workspace.