Con el levantamiento de las restricciones de COVID-19 y los empleados comenzando a regresar a las oficinas, los piratas informáticos se ven obligados a cambiar de táctica. Tiempo trabajadores remotos han sido el principal objetivo de los estafadores durante los últimos 18 meses debido al cambio masivo al trabajo desde el hogar requerido por la pandemia, una nueva suplantación de identidad La campaña intenta explotar a quienes han comenzado a regresar al lugar de trabajo físico.
La campaña basada en correo electrónico, observado por Cofense
El correo electrónico parece lo suficientemente legítimo, luciendo el logotipo oficial de la compañía en el encabezado, además de estar firmado falsificando al CIO. La mayor parte del mensaje describe las nuevas precauciones y cambios en las operaciones comerciales que la empresa está tomando en relación con la pandemia.
Si un empleado fuera engañado por el correo electrónico, sería redirigido a lo que parece ser una página de Microsoft SharePoint que aloja dos documentos con la marca de la empresa. “Al interactuar con estos documentos, se hace evidente que no son auténticos y, en cambio, son mecanismos de phishing para obtener credenciales de cuenta”, explica Dylan Main, analista de amenazas del Phishing Defense Center de Cofense.
Sin embargo, si una víctima decide interactuar con cualquiera de los documentos, aparece un panel de inicio de sesión y solicita al destinatario que proporcione las credenciales de inicio de sesión para acceder a los archivos.
“Esto es poco común entre la mayoría de las páginas de phishing de Microsoft donde la táctica de falsificar la pantalla de inicio de sesión de Microsoft abre un panel de autenticación”, continuó Main. “Al dar a los archivos la apariencia de ser reales y no redirigirlos a otra página de inicio de sesión, es más probable que el usuario proporcione sus credenciales para ver las actualizaciones”.
Otra técnica que están empleando los piratas informáticos es el uso de credenciales validadas falsas. Las primeras veces que se ingresa la información de inicio de sesión en el panel, el resultado será el mensaje de error que dice: “Su cuenta o contraseña es incorrecta”.
“Después de ingresar la información de inicio de sesión varias veces, el empleado será redirigido a una página real de Microsoft”, dice Main. “Esto da la apariencia de que la información de inicio de sesión era correcta y el empleado ahora tiene acceso a los documentos de OneDrive. En realidad, el actor de amenazas ahora tiene acceso completo a la información del propietario de la cuenta “.
Si bien esta es una de las primeras campañas que se han observado dirigidas a los empleados que regresan al lugar de trabajo (los investigadores de Check Point descubrieron otra el año pasado), es poco probable que sea el último. Ambas cosas Google y Microsoft, por ejemplo, han comenzado a dar la bienvenida al personal a los cubículos de la oficina, y alrededor del 75% de los ejecutivos esperan que al menos el 50% de los empleados vuelvan a trabajar en la oficina en julio, según un reciente Estudio de PwC.
Los actores de amenazas suelen adaptarse para explotar el entorno global. Así como el cambio al trabajo masivo a través de conexiones remotas llevó a un aumento en el número de ataques que intentan explotar las credenciales de inicio de sesión remoto, es probable que la cantidad de ataques dirigidos a redes locales y trabajadores de oficina continúe creciendo en los próximos meses.