Cómo asegurarse de que un email de phishing pase los filtros de seguridad de Office 365

Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) detectaron recientemente una campaña de phishing que buscaba recopilar miles de credenciales de acceso a cuentas de Office 365, usando toda clase de trucos para engañar a los usuarios e incluso a los sistemas de seguridad email. Al parecer estos mensajes provienen de una cuenta empresarial comprometida mediante el sistema de email seguro Zix, por lo que los usuarios pueden ser más propensos a caer en la trampa.

La cuenta email comprometida empleada por los hackers pertenece a Authentic Title LLC, un operador de servicios inmobiliarios y parece tener como tema una contraoferta de liquidación. Además del mensaje fraudulento, se incluye un enlace que redirige al usuario objetivo a una plataforma externa a su servicio email.

Cabe señalar que los correos enviados a través del servicio Zix cuentan con un encabezado y un pie de página que indica que el email fue enviado de forma segura mediante este servicio, lo que para muchos usuarios basta y sobra para determinar si este mensaje procede de una dirección segura.

Este enlace lleva a los usuarios a un sitio web oficial de autenticación de Zix que comprueba la autenticidad del enlace. Posteriormente, el sitio web de Zix lleva a los usuarios a una página de Microsoft OneNote.

Sobra decir que este es un enlace malicioso que redirigirá a los usuarios a un sitio web de phishing desde donde se activará una solicitud para compartir sus claves de acceso a Microsoft Office 365 o incluso a otras plataformas email.

Este ataque utiliza una técnica muy común para evadir la seguridad de las plataformas email, aunque añade un giro inesperado. Mientras la mayoría de los actores de amenazas emplean estrategias similares y ocultan su actividad detrás de múltiples enlaces de redireccionamiento para obstruir el funcionamiento de los mecanismos de seguridad, estos operadores van un paso más allá, empleando un enlace Zix para abusar de la confianza que los usuarios tienen en este servicio y otras plataformas de email seguro.

Debido a que la primera página después del enlace de Zix era una página aparentemente legítima alojada por Microsoft, Zix no pudo confirmar inmediatamente que el enlace era malicioso.

Alojar contenido malicioso en un servicio de Microsoft también es un truco básico que los cibercriminales utilizan a menudo para eludir las protecciones de seguridad y dar apariencia de legítimos a las decenas de miles de mensajes maliciosos enviados a diario en todo el mundo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).