Millones de correos electrónicos casi indetectables que se hacían pasar por empresas de primera línea se difundieron todos los días durante la primera mitad de 2024, gracias a algunas características permisivas de Microsoft 365 y el servicio de protección de correo electrónico de Proofpoint.
El gateway de correo electrónico seguro (SEG) de Proofpoint es una especie de firewall para correos electrónicos corporativos, que filtra lo que entra y aplica autenticación a lo que sale. Sin embargo, recientemente investigadores de Guardio descubrieron un campaña que socava esa parte saliente, utilizando un “fallo de configuración errónea súper permisivo” para enviar correos electrónicos fraudulentos con tarjetas de crédito que fueron firmados y verificados como si vinieran de cuentas corporativas legítimas de marca.
"Pone a los destinatarios en una situación extraña", afirma Adam Maruyama, director de tecnología de campo de Garrison Technology. "Puede recibir un correo electrónico falsificado y verse afectado, incluso si ha realizado todas sus diligencias debidas [en ciberseguridad] para tratar de protegerse".
Desde entonces, Proofpoint ha implementado una solución que prácticamente acabó con la campaña, pero persisten algunas preguntas más amplias sobre la seguridad del correo electrónico.
Cómo funcionó la “EchoSpoofing”
"No ha habido muchos cambios en la infraestructura subyacente del correo electrónico desde sus inicios", dice Jeremy Fuchs, oficina del CTO de Check Point Software. Por ejemplo, “La dirección del remitente en un correo electrónico es algo así como la dirección del remitente en el correo postal. Podría enviarte una carta y decirte que viene del Polo Norte, y realmente nadie podría hacer nada para detenerlo. No es tan sencillo en el mundo digital, pero sigue siendo bastante fácil”.
En la campaña, que Guardio denominó “EchoSpoofing”, el atacante aprovechó este hecho configurando su propio servidor SMTP (Protocolo simple de transferencia de correo) en un servidor virtual. Desde allí, podían enviar correos electrónicos con el encabezado "De" que desearan; por ejemplo, una cuenta de servicio al cliente falsa proveniente de un dominio @disney.com o @northpole.cool.
Por supuesto, cualquier solución de seguridad moderna que emplee tecnología anti-spoofing como Monitoreo de conformidad e informes de autenticación de mensajes basados en dominio (DMARC) o el filtro de spam detectaría correos electrónicos sospechosos provenientes de un servidor aleatorio. Pero aquí es donde entra en juego la vulnerabilidad EchoSpoofing.
Resultó que el SEG de Proofpoint contenía un interruptor que, cuando se activaba, confiaba en cualquier envío de correo electrónico a través de Microsoft Office 365. Microsoft 365 es un servicio de correo comúnmente utilizado entre las empresas, pero cualquiera, incluido un hacker, también puede usarlo. Por lo tanto, si un pirata informático pudiera enviar correo a través de Microsoft a un cliente de Proofpoint, se confiaría en él de forma predeterminada y se transmitiría.
Aquí es donde los registros de intercambio de correo (MX) resultaron útiles. Los registros MX en el Sistema de nombres de dominio (DNS) especifican los servidores de correo responsables de manejar el correo electrónico de un dominio. Las empresas que utilizan Proofpoint SEG envían sus registros MX a los servidores de Proofpoint. Estos registros son públicos, por lo que, observa Fuchs, “no estaban simplemente adivinando a quién apuntar. Sabían exactamente a quién podían apuntar”.
En resumen: el atacante falsificó correos electrónicos que imitaban a grandes corporaciones (incluidas Disney, Best Buy, ESPN, IBM, Coca Cola, Nike, Fox News y docenas más) desde un servidor SMTP privado y luego los transmitió a través de Microsoft 365 a clientes conocidos de Proofpoint. Si el cliente tenía activada la configuración "superpermisiva", Proofpoint marcaría los correos electrónicos maliciosos con el mismo Correo identificado con claves de dominio (DKIM) verificación, legitimaría los correos electrónicos y luego los enviaría a las bandejas de entrada de las víctimas.
Millones de correos electrónicos falsos al día
La campaña EchoSpoofing comenzó en enero y fue descubierta por primera vez por el propio Proofpoint a finales de marzo. En ese momento, la empresa explicó en un entrada del blog, tomó una serie de medidas para notificar y proteger a los clientes.
Pero esos esfuerzos no detuvieron la marea de ataques. De hecho, el número de correos electrónicos falsificados no hizo más que aumentar: con un promedio de tres millones por semana y, en ocasiones, superando los diez millones.
Fuente: Guardio
Dark Reading contactó a Proofpoint para obtener más información sobre por qué los ataques por correo electrónico solo aumentaron después de que comenzaron sus esfuerzos iniciales de remediación. Los representantes de Proofpoint señalaron a Dark Reading pasajes de su blog y no proporcionaron más comentarios.
Quizás la campaña sobrevivió porque el atacante tenía una gran conciencia operativa. Como explicó Guardio, “una vez que encuentra una cuenta de Proofpoint vulnerable (al probar este exploit a pequeña escala), guarda el dominio para su uso posterior, lo que genera espacios de tiempo entre las oportunidades de entrega. Cambia los dominios abusados y las cuentas de Office365 cada vez, lo que hace que sea más difícil detectar la actividad y trata de permanecer 'fuera del radar' tanto como sea posible”.
Esta diligencia puede haber sido la clave para la permanencia de la campaña, incluso después de haber sido detectada. "Fue bastante interesante ver cómo, una vez que se detectó la campaña y los clientes de Proofpoint comenzaron a parchar y bloquear este exploit, el actor de amenazas se dio cuenta del declive y comenzó a quemar activos, al darse cuenta de que 'el fin está cerca', como se puede ver con el uso del dominio disney.com en el gráfico anterior a principios de junio de 2024”.
EchoSpoofing finalmente parece haberse extinguido recientemente, después de que Proofpoint introdujera un encabezado específico del proveedor para los correos electrónicos salientes. Ahora, los clientes pueden restringir las cuentas de 365 a las que se les permite enviar correos electrónicos en su nombre solo a las suyas.
Ser diligente con el correo electrónico corporativo
Además de la permisividad, la negligencia también allanó el camino para los EchoSpoofers.
Según Guardio, a pesar de los esfuerzos de Proofpoint por alertar a Microsoft, las cuentas de Office365 utilizadas maliciosamente por los atacantes permanecen activas muchos meses después. En una declaración a Dark Reading, un portavoz de Microsoft afirmó que “Cuando nuestro socio nos alertó sobre este problema, tomamos medidas inmediatas para investigar. Bloqueamos a los inquilinos que abusan de nuestro servicio y desactivamos las cuentas consideradas fraudulentas”.
Luego estaban las empresas que fueron víctimas de suplantación de identidad. Como señala Nati Tal, directora de Guardio Labs, no fueron impotentes para detectar millones de correos electrónicos falsos. haciéndose pasar por sus marcas. “En este caso, si alguien de Disney o de cualquier otro lugar estuviera mirando la cantidad de correos electrónicos que se envían desde su [servidor] ProofPoint, probablemente habría aparecido inmediatamente, en el primer momento. Verías algún tipo de anomalía”.
Eso, dice, debería ser una lección de que "es necesario implementar algún tipo de registro, algún tipo de seguimiento de datos para la distribución de su correo electrónico".
Las organizaciones que no implementan controles seguros de correo electrónico, como el monitoreo DMARC, corren el riesgo de sufrir consecuencias cibernéticas mucho mayores de las que EchoSpoofing ha demostrado hasta ahora. Como reflexiona Maruyama, “Creo que mi preocupación es que estos han sido ataques de spam bastante genéricos. 'Haga clic aquí', luego intentan robar su número de tarjeta de crédito. Podría ver un mundo en el que un actor más sofisticado salvaría una vulnerabilidad similar para realizar un phishing dirigido a, por ejemplo, recibir correos electrónicos que parezcan ser del gobierno y de los servicios de defensa, dirigidos a personas del Pentágono, DHS. , etc. Esa es una amenaza mucho mayor, con el debido respeto a las personas a quienes les han robado tarjetas de crédito aquí”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/disney-nike-ibm-signatures-3m-fake-emails