Los imitadores de Instagram se dirigen a miles y escapan a la ciberseguridad de Microsoft

Los atacantes cibernéticos se han dirigido a estudiantes de instituciones educativas nacionales en los EE. UU. con una sofisticada campaña de phishing que se hizo pasar por Instagram. El aspecto inusual de la táctica es que usaron un dominio válido en un esfuerzo por robar credenciales, omitiendo las protecciones de correo electrónico de Microsoft 365 y Exchange en el proceso.

El ataque de ingeniería social, que se ha dirigido a casi 22,000 buzones de correo, utilizó los identificadores personalizados de los usuarios de Instagram en mensajes que informaban a las posibles víctimas que había un "inicio de sesión inusual" en su cuenta, según una entrada de blog publicado el 17 de noviembre por Armorblox Research Team.

El señuelo de inicio de sesión no es nada nuevo para los phishers. Pero los atacantes también enviaron los mensajes desde un dominio de correo electrónico válido, lo que dificulta mucho tanto a los usuarios como a la tecnología de escaneo de correo electrónico marcar los mensajes como fraudulentos, dijeron los investigadores.

“La capacitación en seguridad tradicional aconseja mirar los dominios de correo electrónico antes de responder ante cualquier signo claro de fraude”, explicaron en la publicación. “Sin embargo, en este caso, un escaneo rápido de la dirección del dominio no habría alertado al usuario final de actividad fraudulenta debido a la validez del dominio”.

Como el phishing ha existido durante tanto tiempo, los atacantes saben que la mayoría de las personas que usan el correo electrónico están al tanto de ellos y, por lo tanto, están familiarizados con la forma de detectar mensajes fraudulentos. Esto ha obligado a los actores de amenazas a ser más creativo en sus tácticas para tratar de engañar a los usuarios para que piensen que los correos electrónicos de phishing son legítimos.

Además, las personas en edad universitaria que usan Instagram probablemente se encuentren entre los usuarios de Internet más inteligentes, ya que crecieron usando la tecnología, razón por la cual los atacantes en esta campaña en particular tuvieron tanto cuidado de parecer auténticos.

Cualquiera que sea el motivo, la combinación de la campaña de suplantación de identidad, suplantación de marca y un dominio legítimo permitió a los atacantes enviar mensajes que superaron con éxito no solo las protecciones de Office 365 y Exchange, sino también las verificaciones de autenticación de correo electrónico de alineación de DKIM, DMARC y SPF, dijeron los investigadores. .

“Tras un análisis más detallado del equipo de investigación de Armorblox, el dominio del remitente recibió una puntuación respetable de “confiable” y sin infecciones en los últimos 12 meses de los 41 meses de existencia del dominio”, escribieron en la publicación.

Señuelo de “inicio de sesión inusual”

Los investigadores de Armorblox dijeron que los ataques comenzaron con un correo electrónico con el asunto "Notamos un inicio de sesión inusual, [identificador de usuario]", utilizando una táctica común para infundir una sensación de urgencia en el destinatario para que lea el correo electrónico y tome medidas. .

El cuerpo del correo electrónico se hizo pasar por la marca de Instagram y parecía provenir del equipo de soporte de la plataforma de redes sociales, con el nombre del remitente, el perfil de Instagram y la dirección de correo electrónico, que era perfectamente aceptable "GME@dhr-rgv.com” — todo aparentemente legítimo, dijeron.

El mensaje le informa al usuario que un dispositivo no reconocido de una ubicación específica y una máquina con un sistema operativo específico, en el caso de un ejemplo compartido por Amorblox, Budapest y Windows, respectivamente, había iniciado sesión en su cuenta.

“Este ataque de correo electrónico dirigido fue diseñado socialmente y contenía información específica del destinatario, como su identificador de usuario de Instagram, para infundir un nivel de confianza de que este correo electrónico era una comunicación de correo electrónico legítima de Instagram”, escribieron los investigadores.

Los atacantes tenían como objetivo que los destinatarios hicieran clic en un enlace que les pedía que "protegieran" sus datos de inicio de sesión incluidos en la parte inferior del correo electrónico, lo que condujo a una página de destino falsa que los actores de amenazas crearon para exfiltrar las credenciales de los usuarios. Si alguien llegó tan lejos, la página de destino a la que redirige el enlace, como el correo electrónico, también imitaba una página legítima de Instagram, dijeron los investigadores.

“La información dentro de esta página de inicio falsa brinda a las víctimas un nivel de detalle para corroborar los detalles dentro del correo electrónico y también aumenta la sensación de urgencia para tomar medidas y hacer clic en el botón de llamada a la acción, 'No fui yo, '”, dijeron los investigadores.

Si los usuarios muerden el anzuelo y hacen clic para "verificar" sus cuentas, son dirigidos a una segunda página de destino falsa que también se hace pasar por Instagram de manera creíble y se les solicita que cambien las credenciales de la cuenta con la premisa de que alguien puede haberlas robado.

Irónicamente, por supuesto, es la página real la que robará si el usuario inicia sesión con nuevas credenciales, dijeron los investigadores.

Evitar el compromiso y el robo de credenciales

A medida que los actores de amenazas se vuelven más sofisticados en la forma en que elaboran correos electrónicos de phishing, también deben hacerlo las empresas y sus usuarios en términos de detección.

Desde que la campaña de phishing de Instagram logró eludir las protecciones de correo electrónico nativas, los investigadores sugirieron que las organizaciones deberían aumentar la seguridad integrada del correo electrónico con capas que adopten un enfoque materialmente diferente para la detección de amenazas. Para ayudarlos a encontrar una solución, pueden utilizar la investigación confiable de empresas como Gartner y otras sobre qué opciones son las mejores para su negocio en particular.

Los empleados también deben ser asesorados o incluso capacitados para estar atentos a las señales de ingeniería social que se están volviendo más comunes en las campañas de phishing en lugar de ejecutar rápidamente las acciones solicitadas recibidas en los mensajes de correo electrónico, para lo cual nuestros cerebros han sido entrenados, dijeron los investigadores.

“Sujete el correo electrónico a una prueba ocular que incluya la inspección del nombre del remitente, la dirección de correo electrónico del remitente, el idioma dentro del correo electrónico y cualquier inconsistencia lógica dentro del correo electrónico”, escribieron.

Además, dijeron los investigadores, emplear autenticación multifactor y las mejores prácticas de administración de contraseñas en cuentas personales y comerciales pueden ayudar a evitar el compromiso de la cuenta si un atacante obtiene las credenciales de un usuario a través del phishing.

Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.Haga clic aquí
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/application-security/instagram-impersonators-target-thousands-microsoft-cybersecurity

Inteligencia de datos generativa

Los imitadores de Instagram apuntan a miles, escapando de la ciberseguridad de Microsoft

Señuelo de “inicio de sesión inusual”

Evitar el compromiso y el robo de credenciales

café vc

café vc

Información más reciente

OpenAI resta importancia a los rumores sobre el motor de búsqueda web GPT-5

Millones de dispositivos IoT en riesgo debido al módem integrado

¿Puede el cannabis mejorar la aurora boreal?

CISO como CTO: cuándo y por qué tiene sentido

AWS DeepRacer permite a los creadores de todos los niveles mejorar sus habilidades y comenzar con el aprendizaje automático | Servicios web de Amazon

Las gomitas de marihuana pueden facilitar las bodas