La importancia de proteger tus credenciales en un mundo dominado por el ciberdelito
- OSIPTEL
- 5 diciembre 2023
Las credenciales de cuenta, el vector de acceso inicial, se han convertido en un valioso activo en el mundo del ciberdelito. Según el Informe de Investigación de Violaciones de Datos de Verizon de 2023, el 83% de las violaciones que ocurrieron entre noviembre de 2021 y octubre de 2022 fueron causadas por partes externas. Además, el 49% de esas violaciones involucraron credenciales robadas.
La ingeniería social es una de las cinco principales amenazas para la ciberseguridad en 2023. El phishing es el método preferido para robar credenciales, ya que es una táctica relativamente barata que produce resultados. Con el phishing y la ingeniería social en general, los actores de amenazas están utilizando diferentes métodos más allá del simple uso de correos electrónicos.
Las campañas de phishing ahora son ataques multicanal que tienen múltiples etapas; además de los correos electrónicos, los actores de amenazas utilizan mensajes de texto y mensajes de voz para dirigir a las víctimas a sitios web maliciosos, y luego realizan una llamada telefónica de seguimiento. Asimismo, los actores de amenazas están activamente enfocados en los dispositivos móviles. Las credenciales pueden verse comprometidas porque los usuarios pueden ser engañados por tácticas de ingeniería social en diferentes aplicaciones. Por otro lado, se sabe que la inteligencia artificial (IA) se puede utilizar para hacer que el contenido de phishing sea más creíble y ampliar el alcance de los ataques. Utilizando datos de investigación de víctimas, la inteligencia artificial puede crear mensajes de phishing personalizados y luego refinarlos para agregar un toque de legitimidad y obtener mejores resultados. Aun así, no se necesita mucho para empezar a robar credenciales, el phishing se ha convertido en un buen negocio a medida que los actores de amenazas adoptan plenamente el modelo de phishing como servicio (PhaaS) para subcontratar su experiencia a otros con los kits de phishing que se venden en foros clandestinos.
PhaaS opera como negocios SaaS legítimos. Hay modelos de suscripción para elegir y se requiere la compra de una licencia para que los kits funcionen. Durante los últimos seis años, el actor de amenazas W3LL ha estado ofreciendo su kit de phishing personalizado, el W3LL Panel, en su mercado clandestino, W3LL Store. El kit de W3LL fue creado para evitar la autenticación multifactor (MFA) y es una de las herramientas de phishing más avanzadas del mercado clandestino. W3LL también vende otros activos, incluidas listas de correo electrónico de las víctimas, cuentas de correo electrónico comprometidas, cuentas VPN, sitios web y servicios comprometidos y señuelos de phishing personalizados.
Greatness, por ejemplo, en su kit de phishing, incorpora la capacidad de omitir la autenticación multifactor como el Panel W3LL. El contacto inicial se realiza con un correo electrónico de phishing que redirige a la víctima a una página de inicio de sesión falsa de Microsoft 365 donde la dirección de correo electrónico de la víctima se ha completado previamente. Cuando la víctima ingresa su contraseña, Greatness se conecta a Microsoft 365 y omite el MFA solicitándole a la víctima que envíe el código MFA en la página señuelo. Luego, ese código se reenvía al canal de Telegram para que el actor de la amenaza pueda usarlo y acceder a la cuenta auténtica. El kit de phishing Greatness solo se puede implementar y configurar con una clave API.
El acceso a estos foros clandestinos puede resultar difícil y algunas operaciones requieren verificación o cuota de membresía. En algunos casos, como en la Tienda W3LL, solo se permiten nuevos miembros por recomendación de los miembros existentes. Después de robar las credenciales de la cuenta, los actores de amenazas pueden distribuir malware, robar datos, hacerse pasar por el propietario de la cuenta y realizar otros actos maliciosos con la cuenta de correo electrónico comprometida; sin embargo, los actores de amenazas que roban las credenciales a menudo no son quienes utilizarán la información.
El beneficio económico sigue siendo la principal razón detrás del 95% de las infracciones. Los actores de amenazas venderán las credenciales que han robado en foros clandestinos para obtener ganancias a otros actores de amenazas que las usarán semanas o meses después.
Fuente: https://thehackernews.com/2023/11/how-hackers-phish-for-your-users.html
Deja un comentario