Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El FBI y la CISA emiten una advertencia de campaña de vishing

Cuando inicie sesión en la VPN de su empresa, tenga en cuenta la URL en la que está iniciando sesión.

El FBI y CISA emitieron la semana pasada un aviso relacionado con una campaña de vishing, o phishing de voz, que comenzó a mediados de julio, con numerosos ataques que implican obtener acceso a credenciales de VPN corporativas.

Según el aviso del 20 de agosto, «los actores registraron dominios y crearon páginas de phishing que duplicaron la página de inicio de sesión de VPN interna de una empresa, y también capturaron autenticación de dos factores (2FA) o contraseñas de un solo uso (OTP). Los actores también obtuvieron Secure Sockets Layer (SSL). ) certificados para los dominios que registraron y utilizaron una variedad de esquemas de nombres de dominio «.

Los ejemplos de formatos de nombres de dominio incluyen «support-[company], «»[company]-support, «» ticket-[company]» y otros.

Los ciberdelincuentes detrás de la campaña vishing crearon perfiles de empleados específicos utilizando una gran variedad de fuentes (desde las redes sociales hasta los servicios de verificación de antecedentes disponibles públicamente); Los actores de amenazas luego usaron números VoIP no atribuidos para «llamar a los empleados específicos en sus teléfonos celulares personales, y luego comenzaron a incorporar números falsos de otras oficinas y empleados en la compañía víctima».

Luego, los ciberdelincuentes se hicieron pasar por miembros de la mesa de ayuda de TI de la empresa objetivo, utilizando este perfil de información obtenido para crear una conexión personal y generar confianza. Después de construir esta confianza, el ciberdelincuente convencería a un empleado víctima de que «se enviaría un nuevo enlace VPN y se requeriría su inicio de sesión, incluido cualquier 2FA u OTP». Después de que el empleado es víctima e inicia sesión, el actor de la amenaza utiliza estas credenciales ahora robadas para obtener acceso a la cuenta del empleado y a cualquier herramienta corporativa que contenga.

«En algunos casos, los empleados desprevenidos aprobaron el mensaje 2FA u OTP, ya sea accidentalmente o creyendo que era el resultado del acceso anterior otorgado al imitador de la mesa de ayuda», dijo el aviso. «En otros casos, los atacantes han utilizado un ataque SIM-Swap 2 en los empleados para eludir la autenticación 2FA y OTP. Luego, los actores utilizaron el acceso de los empleados para realizar más investigaciones sobre las víctimas y / o para obtener fondos de manera fraudulenta utilizando diversos métodos que dependen de la plataforma a la que se accede «.

Los consejos ofrecidos por CISA y el FBI para las organizaciones incluyen restringir las conexiones VPN a dispositivos administrados únicamente, emplear la supervisión de dominio y mejorar la mensajería 2FA y OTP para «reducir la confusión sobre los intentos de autenticación de los empleados». Para los usuarios, las agencias recomendaron marcar como favoritos la URL de VPN corporativa correcta, no visitar URL alternativas solo sobre la base de una llamada telefónica entrante y sospechar de las llamadas telefónicas no solicitadas de personas desconocidas.

El FBI y CISA también advirtieron que los ciberdelincuentes buscan aprovechar el «aumento del teletrabajo» en numerosas organizaciones. «La pandemia de COVID-19 ha dado lugar a un cambio masivo al trabajo desde casa, lo que ha resultado en un mayor uso de redes privadas virtuales (VPN) corporativas y la eliminación de la verificación en persona», se lee en el aviso.

Los profesionales de Infosec y los investigadores de amenazas también advirtieron cómo el cambio apresurado a las fuerzas de trabajo remotas ha dejado a los empleados vulnerables a las estafas de ingeniería social. Durante el evento virtual Red Con 2020 de IBM la semana pasada, Charles Henderson, director global de X-Force Red de IBM, dijo que las migraciones planificadas a las fuerzas de trabajo remotas a menudo toman muchos meses para hacerse de forma segura, pero la pandemia de COVID-19 obligó a muchas organizaciones a hacer el cambio. una forma de días. Henderson también dijo que los empleados de la empresa esperan seguir trabajando desde casa mucho después de que haya mejorado la crisis de salud pública.

«Este año es asombroso para mí cómo ha cambiado el panorama de la seguridad», dijo Henderson durante sus comentarios en la Red Con. «Necesitamos darnos cuenta de que para ser competitivos después de la pandemia y ser verdaderamente responsables en lo que respecta a la seguridad, debemos prepararnos para la verdadera revolución de la oficina en casa que estamos presenciando».

Esta campaña de vishing a la que se hace referencia en la alerta tiene algunas similitudes con la filtración de Twitter ampliamente publicitada del mes pasado; Ambas campañas involucraron ataques vishing para robar credenciales, y ambas campañas estaban dirigidas a empleados específicos. No está claro si las dos campañas de vishing están conectadas.

CISA no ha respondido a una solicitud de comentarios.

El director de Security News, Rob Wright, contribuyó a este informe.

También te puede interesar...

¿Qué es la nube privada virtual (VPC)?

Una nube privada virtual (VPC) es la división lógica de la arquitectura de múltiples inquilinos de nube pública de un proveedor de servicios para admitir la computación en nube privada. Este modelo permite que una

Lo que debe saber sobre los perfiles de host en VMware

VMware Host Profiles es una herramienta de vCenter Server que ayuda a diseñar e implementar hosts ESXi. Funciona encapsulando una configuración de host de referencia y convirtiéndola en una plantilla en la que puede configurar

Docker, Kubernetes y el futuro

La rápida evolución de los contenedores durante las últimas dos décadas ha cambiado la dinámica de la infraestructura de TI moderna, y comenzó antes del debut de Docker en 2013. La partición de VM, que

¿Qué es REST API (RESTful API)?

Una API RESTful es un estilo arquitectónico para una interfaz de programa de aplicación (API) que usa solicitudes HTTP para acceder y usar datos. Esos datos se pueden utilizar para OBTENER, PONER, PUBLICAR y ELIMINAR

Objetivos de calidad para el almacenamiento de datos

Este artículo apareció originalmente en BeyeNETWORK. «Un buen plan hoy es mejor que un plan perfecto mañana». – General George C. Patton Todos están de acuerdo en que la calidad del trabajo, especialmente el producto

¿Qué es el modelo de madurez de capacidad (CMM)?

El modelo de madurez de capacidad (CMM) es una metodología que se utiliza para desarrollar y perfeccionar el proceso de desarrollo de software de una organización. El modelo describe un camino evolutivo de cinco niveles

Reclutar inteligentemente para el Internet de las cosas

A medida que Internet de las cosas continúa sacudiendo diferentes industrias, las empresas se ven obligadas a interrogar y evaluar sus estrategias de contratación para asegurarse de que cuentan con equipos sólidos que puedan desarrollar

¿Salesforce Einstein comerá Microsoft AI para el desayuno?

A medida que el mercado de la inteligencia artificial comienza a tomar forma, hay algunos actores importantes con diferentes enfoques para desarrollar la inteligencia artificial para la empresa. Sus filosofías son marcadamente diferentes, dice Scott

¿Qué es la Bolsa de Valores de Bombay?

La Bolsa de Valores de Bombay (BSE) es la bolsa de valores más antigua de Asia. Con sede en Mumbai, India, BSE se estableció en 1875 como la Asociación de Corredores de Acciones y Acciones

¿Qué es AWS Amplify? – Definición de Krypton Solid

AWS Amplify es una biblioteca de JavaScript de código abierto proporcionada por Amazon Web Services (AWS) que permite a los desarrolladores crear aplicaciones con servicios en la nube en plataformas web o móviles. AWS Amplify

HIMSS 2018 se centra en la IA en la atención médica

Ninguna tecnología está más de moda en HIMSS 2018 que la IA. La inteligencia artificial y la tecnología de aprendizaje automático están arrasando en la mayoría de los sectores e industrias tecnológicas, y. «La inteligencia

¿Cuál es la diferencia entre IoT e IIoT?

Internet de las cosas se refiere a la proliferación de objetos «inteligentes»: cosas cotidianas de automóviles y electrodomésticos … a calzado deportivo e interruptores de luz, que pueden conectarse a Internet, pasar y recibir datos

Hyland adquiere Alfresco ECM, servicios de contenido

Actualizado el 23 de octubre de 2020 Hyland Software, una empresa de servicios y administración de contenido empresarial con profundas raíces en industrias reguladas, completó la adquisición de Alfresco, un proveedor competidor de administración de

Traffic Talk: Probando Snort con Metasploit

[*][**]Conclusión del proveedor de soluciones: En este consejo de Richard Bejtlich, los proveedores de soluciones cuyos clientes se preguntan si sus soluciones funcionan como se esperaba pueden aprender a cumplir lo prometido probando Snort, el

¿Qué son las funciones de Microsoft Azure?

Azure Functions es el servicio informático sin servidor alojado en la nube pública de Microsoft Azure. Azure Functions y la informática sin servidor, en general, están diseñadas para acelerar y simplificar el desarrollo de aplicaciones.

Deja un comentario