Los actores de suplantación de identidad están siguiendo una nueva tendencia de dirigirse a empleados no ejecutivos, pero que aún tienen acceso a áreas valiosas dentro de una organización.
Como informaron los investigadores de Avanan, la mitad de todos los correos electrónicos de phishing que analizaron en los últimos meses se hicieron pasar por personas que no eran ejecutivos, y el 77% de ellos se dirigieron a empleados del mismo nivel.
Anteriormente, los agentes de phishing se hacían pasar por directores ejecutivos y directores financieros para engañar a los empleados de la empresa en ataques de phishing dirigidos.
Esto tenía sentido porque enviar instrucciones y realizar solicitudes urgentes como empleado de alto rango aumenta las posibilidades de cumplimiento por parte del destinatario de estos mensajes.
Sin embargo, a medida que los directores ejecutivos se volvieron más vigilantes y los equipos de seguridad de las grandes empresas agregaron más salvaguardias en torno a esas cuentas “críticas”, los agentes de suplantación de identidad recurrieron a empleados de menor rango que aún pueden servir como excelentes puntos de entrada a las redes corporativas.
“Es posible que los administradores de seguridad dediquen mucho tiempo a prestar atención adicional a la C-Suite y los piratas informáticos se han adaptado. Al mismo tiempo, los no ejecutivos aún conservan información confidencial y tienen acceso a datos financieros. Los piratas informáticos se dieron cuenta de que no es necesario ir hasta el final de la cadena alimentaria “. – Avanan
A continuación se ofrece un ejemplo de esta práctica, donde un empleado que tiene acceso a los sistemas financieros internos recibe una solicitud urgente para actualizar la información del archivo de depósito directo del remitente suplantado.
Contraseñas de phishing con DocuSign
Como detalla Avanan en su informe, un truco típico implementado en estas campañas es la participación de DocuSign, una plataforma de firma de documentos basada en la nube que de otro modo sería legítima.
Los actores ofrecen DocuSign como método de firma alternativo en los correos electrónicos que envían y piden a los destinatarios que ingresen sus credenciales para ver el documento y firmarlo.
Si bien estos correos electrónicos están diseñados para parecerse a mensajes legítimos de DocuSign, no se envían desde la plataforma. En los correos electrónicos reales de DocuSign, a los usuarios nunca se les pide que ingresen contraseñas, sino que se envía un código de autenticación al destinatario.
En la prisa del trabajo diario, es probable que algunos empleados sean engañados por este mensaje y lo traten como una solicitud de DocuSign real, ingresando sus credenciales de correo electrónico y entregándolas a los actores de phishing.
Cuando un correo electrónico llega a su bandeja de entrada, es crucial tomarse el tiempo y evaluarlo para detectar cualquier signo de engaño. Los archivos adjuntos no solicitados, los errores ortográficos y la solicitud para ingresar sus credenciales deben tratarse como grandes señales de alerta.
Los ataques de phishing con temática de Docusign no son nada nuevo y han sido utilizados por numerosos actores de amenazas para robar credenciales de inicio de sesión y distribuir malware. En agosto de 2019, una campaña que utilizaba las páginas de destino de DocuSign dio un paso más al intentar engañar a las personas para que ingresaran sus credenciales completas para una amplia selección de proveedores de correo electrónico.
Fuente: bleepingcomputer
