Atacantes utilizan URL para enlaces Phishing

A medida que las medidas de seguridad son reforzadas con la implementación de herramientas y técnicas utilizadas en Phishing. Los atacantes encuentran nuevas formas de evitar la detección y apuntar a posibles víctimas.

Muchos ataques de Phishing en la actualidad se basan en convencer a los usuarios de que hagan clic en un enlace comprometido que los lleva a una pagina web donde los atacantes intentan obtener sus credenciales.

Las herramientas de seguridad se han vuelto mas eficaces para detectar este tipo de enlaces, por lo que los atacantes comenzaron a implementar técnicas como la modificación de código de URL mediante servicios legítimos de enlaces maliciosos. Estas técnicas ahora están evolucionando hacia enfoques técnicos altamente elaborados que aprovechan la reputación de la marca y del dominio.

Protección de URL activa

A partir de mediados de mayo 2024, comenzaron a observarse ataques de Phishing que aprovechaban tres servicios de protección de URL diferentes para enmascarar sus URL de phishing. Los servicios son proporcionados por marcar legitimas y confiables. Hasta la fecha, estos ataques se han dirigido a miles de empresas.

Los servicios de protección de URL funcionan de la siguiente manera:

“Si se incluye una URL en un correo electrónico, el servicio la copia, la reescribe y luego integra la URL original dentro de la reescrita”

Cuando el destinatario del correo electrónico hace clic en el enlace “modificado”, se activa un análisis de seguridad del correo electrónico de la URL original. Si el análisis es positivo, se redirige al usuario a la URL. En los ataques observados, los usuarios fueron redirigidos a paginas de Phishing diseñadas para robar información confidencial.

Los atacantes y el acceso al servicio.

Es probable que los atacantes hayan accedido a los servicios de protección de URL, de forma intencionada o de forma oportunista, tras comprometer las cuentas de usuarios legítimos.

Una vez que el atacante ha tomado el control de una cuenta de correo electrónico, puede hacerse pasar por el propietario e infiltrarse y examinar sus comunicaciones por correo electrónico, lo que también es una violación de correo electrónico empresarial (BEC) o secuestro de conversaciones.

Los enlaces de correo electrónicos conectados a la cuenta o en la firma de correo electrónico del usuario revelaran si se esta utilizando un servicio de protección de URL y cuál de ellos.

Para aprovechar la protección de URL para reescribir sus propias URL de phishing, los atacantes necesitarían tener acceso a los sistemas internos para reescribir la URL de phishing, lo que es extremadamente raro, o, lo que es mas probable, enviarse un correo electrónico saliente a sí mismo utilizando las cuentas comprometidas, con el enlace de phishing en el correo.

Al enviar ese mensaje, la solución de seguridad de correo electrónico correspondiente instalada por el usuario reescribirá la URL de phishing utilizando su propio enlace de protección de URL. El atacante puede utilizar ese enlace para ocultar el URL malicioso en sus campañas de phishing.

Es posible que los proveedores de protección de URL no puedan validar si la URL de redireccionamiento que utiliza un cliente especifico realmente la utiliza ese cliente o un intruso que se ha apoderado de la cuenta.

Los enlaces de URL maliciosos se incluyeron en correos electrónicos de dominios como “wanbf(.)com” / “clarelocke(.)com”/ diseñados para parecerse a recordatorios de restablecimiento de contraseñas y de DocuSing.

¿Qué hacer al respecto?

Las herramientas de seguridad de correo electrónico tradicionales pueden tener dificultad para detectar estos tipos de ataques. La defensa mas eficaz es un enfoque de múltiples capas, con varios niveles de seguridad las soluciones que incluyen capacidades de aprendizaje automático, tanto en el nivel de puerta de enlace como después de la entrega, garantizaran que las empresas estén bien protegidas.

Al igual que con todas las amenazas transmitidas por correo electrónico, las medidas de seguridad deben complementarse con una forma activa y periódica de concienciación sobre seguridad para los empleados sobre las amenazas mas recientes y como detectarlas y denunciarlas.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR