phishing
Para robar las credenciales de correo electrónico corporativo de los empleados de una empresa, los atacantes primero tienen que atravesar soluciones contra el phishing en los servidores de correo electrónico de la empresa. Como regla, utilizan servicios Web legítimos para evitar ser vistos; Google Apps Script, una plataforma de script basada en JavaScript, se utiliza cada vez más para este fin.
¿Qué es Apps Script y cómo lo utilizan los atacantes?
Apps Script es una plataforma basada en JavaScript cuya función es automatizar las tareas dentro de los productos de Google (por ejemplo, crear complementos para Google Docs), así como en aplicaciones de terceros. En esencia, es un servicio para crear scripts y ejecutarlos en la infraestructura de Google.
En el phishing por correo electrónico, los atacantes utilizan el servicio para redireccionamiento. En lugar de insertar la URL de un sitio web malicioso directamente en un mensaje, los cibercriminales pueden plantar un enlace en un script. De esta manera, pueden esquivar las soluciones contra phishing a nivel del servidor de correo: un hipervínculo a un sitio legítimo de Google con buena reputación es ignorado por la mayoría de los filtros. Como beneficio adicional para los cibercriminales, los sitios de phishing que no sean detectados pueden permanecer activos por más tiempo. Esta estrategia también da a los atacantes la flexibilidad de cambiar el script de ser necesario (en caso de que las soluciones de seguridad se actualicen), y de experimentar con la entrega del contenido (por ejemplo, enviar a las víctimas versiones distintas del sitio dependiendo de su región).
Ejemplo de una estafa con Google Apps Script
Lo único que los atacantes necesitan es lograr que el usuario haga clic en un enlace. Hace poco, el pretexto más común era “una casilla de correo llena”. En teoría, esto parece posible.
Un correo electrónico típico de phishing que utiliza la estafa de casilla de correo llena.
En la práctica, los atacantes por lo general son más descuidados y dejan señales de fraude que deberían ser obvias incluso para los usuarios que no están familiarizados con las notificaciones reales:
- El correo electrónico parece provenir de Microsoft Outlook, pero el remitente de la dirección de correo electrónico tiene un dominio extraño. Una notificación real sobre una casilla de correo llena debería provenir del servidor interno de Exchange. (Señal adicional: al nombre del remitente, Microsoft Outlook, le falta un espacio y utiliza un cero en lugar de la letra O.)
- El enlace, el cual aparece al pasar el cursor sobre “Arreglarlo en los ajustes de almacenamiento”, lleva a un sitio de Google Apps Script:
Enlace de correo electrónico a Google Apps Script
- Las casillas de correo no exceden su límite de repente. Outlook comienza a advertir a los usuarios de que el espacio se está terminando mucho antes de que llegue al límite. Excederlo de repente por 850 MB probablemente significaría recibir esta cantidad de spam al mismo tiempo, lo cual es muy poco probable.
De cualquier manera, este es un ejemplo de una notificación legítima de Outlook:
Notificación legítima respecto a una casilla de correo casi llena
- El enlace “Arreglarlo en los ajustes de almacenamiento” redirige a un sitio de phishing. Aunque parezca una copia bastante convincente de la página de inicio de sesión de la interfaz web de Outlook, una mirada a la barra de direcciones del navegador revela que la página está alojada en un sitio web falso, no en la infraestructura de la empresa.
Cómo evitar morder el anzuelo
La experiencia muestra que los correos electrónicos de phishing no necesariamente tienen que incluir enlaces de phishing. Por lo tanto, la protección corporativa de confianza debe incluir capacidades contra el phishing tanto a nivel del servidor de correo como en las computadoras de los usuarios.
Así mismo, la protección responsable debe incluir capacitación continua sobre concienciación a los empleados que cubra las ciberamenazas y estrategias de phishing actuales.
