EL MUNDO HIPERCONECTADO HA FACILITADO MÁS QUE NUNCA QUE EMPRESAS Y CONSUMIDORES INTERCAMBIEN DOCUMENTOS, APRUEBEN TRANSACCIONES Y COMPLETEN FLUJOS DE TRABAJO FINANCIEROS CRÍTICOS CON UN SOLO CLIC. LAS PLATAFORMAS DE INTERCAMBIO DE ARCHIVOS DIGITALES Y FIRMA ELECTRÓNICA, AMPLIAMENTE UTILIZADAS EN BANCA, BIENES RAÍCES, SEGUROS Y OPERACIONES COMERCIALES COTIDIANAS, SE HAN VUELTO ESENCIALES PARA LA RÁPIDA EVOLUCIÓN DE LAS ORGANIZACIONES MODERNAS. SIN EMBARGO, ESA MISMA COMODIDAD CREA UNA BRECHA PARA LOS CIBERDELINCUENTES.
Investigadores de seguridad de correo electrónico de Check Point descubrieron recientemente una campaña de phishing en la que los atacantes se hacen pasar por servicios de intercambio de archivos y firma electrónica para enviar señuelos con temática financiera que simulan notificaciones legítimas.
En este incidente, los atacantes enviaron más de 40.000 correos electrónicos de phishing dirigidos a aproximadamente 6.100 empresas durante las últimas dos semanas. Todos los enlaces maliciosos se canalizaron a través de https://url.za.m.mimecastprotect.com, lo que aumentó la confianza al imitar flujos de redireccionamiento habituales.
Cómo funciona la campaña
Los atacantes abusaron de la función de reescritura de enlaces seguros de Mimecast, utilizándola como cortina de humo para que sus enlaces parecieran seguros y autenticados. Dado que Mimecast Protect es un dominio de confianza, esta técnica ayuda a las URL maliciosas a evadir los filtros automáticos y despertar la sospecha del usuario.
Para aumentar la credibilidad, los correos electrónicos copiaban elementos visuales oficiales del servicio (logotipos de Microsoft y productos de Office), utilizaban encabezados, pies de página y botones de “revisar documento” similares a los de los servicios, y falsificaban nombres para mostrar como “X vía SharePoint (Online)”, “eSignDoc vía Y” y “SharePoint”, que coincidían estrechamente con los patrones de notificación auténticos.
Phishing al estilo DocuSign con un método de redireccionamiento diferente
Además de la gran campaña de SharePoint/firma electrónica, los investigadores también identificaron una operación más pequeña, pero relacionada, que imita las notificaciones de DocuSign. Al igual que el ataque principal, se hace pasar por una plataforma SaaS confiable y aprovecha una infraestructura de redireccionamiento legítima, pero la técnica utilizada para enmascarar el destino malicioso difiere significativamente. En la campaña principal, la redirección secundaria actúa como una redirección abierta, dejando visible la URL de phishing final en la cadena de consulta a pesar de estar protegida por servicios de confianza. En la variante basada en DocuSign, el enlace se mueve a través de una URL de Bitdefender GravityZone y luego a través del servicio de seguimiento de clics de Intercom, con la página de destino real completamente oculta tras una redirección tokenizada. Este enfoque oculta por completo la URL final, lo que hace que la variante de DocuSign sea aún más sigilosa y difícil de detectar.
Escala y patrones de la campaña
La campaña se dirigió principalmente a organizaciones de EE. UU., Europa, Canadá, Asia-Pacífico y Oriente Medio, con un enfoque principal en los sectores de consultoría, tecnología y construcción/inmobiliario. Además, tuvo víctimas en sectores como la salud, las finanzas, la manufactura, los medios de comunicación y el marketing, el transporte y la logística, la energía, la educación, el comercio minorista, la hostelería y los viajes, y la administración pública. Estos sectores son objetivos atractivos porque intercambian contratos, facturas y otros documentos transaccionales de forma habitual, lo que hace que el intercambio de archivos y la suplantación de firmas electrónicas sean muy convincentes y tengan más probabilidades de éxito.
Los datos de telemetría de correo electrónico Harmony de Check Point muestran que, en las últimas dos semanas, se enviaron más de 40 000 correos electrónicos de phishing dirigidos a aproximadamente 6100 empresas. La campaña se dirigió principalmente a organizaciones de EE. UU., Europa, Canadá, Asia-Pacífico y Oriente Medio. Por región, el desglose es el siguiente:
EE. UU.: 34.057
Europa: 4.525
Canadá: 767
Asia: 346
Australia: 267
Oriente Medio: 256
Nota: La distribución regional refleja dónde se alojan los datos empresariales dentro de nuestra infraestructura y no representa necesariamente las ubicaciones físicas de las empresas.
Por sector, las empresas más afectadas operan en los sectores de consultoría, tecnología y construcción/bienes raíces, con representación adicional en salud, finanzas, manufactura, medios de comunicación/marketing, transporte/logística, energía, educación, comercio minorista, hostelería/viajes y gobierno. Es probable que estos sectores sean el objetivo porque intercambian frecuentemente contratos, facturas y otros documentos financieros, lo que hace que el intercambio de archivos y las firmas electrónicas sean señuelos especialmente convincentes.
Qué deben hacer las organizaciones
Las organizaciones y las personas también deben tomar medidas proactivas para reducir el riesgo. Algunas maneras de mantenerse protegido incluyen:
Siempre tenga cuidado con los enlaces incluidos en los correos electrónicos, especialmente si parecen inesperados o urgentes.
Preste mucha atención a los detalles del correo electrónico, como discrepancias entre el nombre para mostrar y la dirección real del remitente, inconsistencias en el formato, tamaños de fuente inusuales, logotipos o imágenes de baja calidad y cualquier cosa que parezca fuera de lugar.
Coloque el cursor sobre los enlaces antes de hacer clic para inspeccionar el destino real y asegurarse de que coincida con el servicio que supuestamente envió el mensaje.
Abra el servicio usted mismo en el navegador y busque el documento directamente, en lugar de usar los enlaces proporcionados en los correos electrónicos.
Capacite regularmente a los empleados y equipos sobre las nuevas técnicas de phishing para que comprendan cómo se ven los patrones sospechosos.
Utilice soluciones de seguridad como la detección de amenazas de correo electrónico, motores antiphishing, filtrado de URL y herramientas de informes de usuarios para reforzar la protección general.
