Suplantación de identidad a través de AWS (Amazon Web Services)

La tendencia más candente en el mundo del phishing es aprovechar los servicios legítimos para enviar mensajes ilegítimos.

Es fácil para los piratas informáticos: regístrese para obtener una cuenta, a menudo gratuita, en una variedad de sitios web. Y hemos visto casos en Microsoft, Google, QuickBooks y PayPal.

Desde los servicios de la herramienta, se envía un correo electrónico, una factura, un documento. El correo electrónico proviene directamente del servicio y se envía a la bandeja de entrada, pasando todos los controles típicos. Es fácil de ejecutar para los piratas informáticos, difícil de detectar para los servicios de seguridad y difícil de notar para los usuarios finales.

Una tripleta ganadora.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, está viendo otra herramienta legítima utilizada para estos fines: AWS. En este informe de ataque, los investigadores de Check Point Harmony Email analizaron cómo los piratas informáticos utilizan AWS para enviar enlaces de phishing.

En este ataque, los piratas informáticos utilizan sitios alojados en AWS S3 Buckets para enviar enlaces de phishing.

• Vector: Correo electrónico

• Tipo: BEC 3.0

• Técnicas: Ingeniería Social, Recolección de Credenciales

• Objetivo: Cualquier usuario final

Esto comienza con un correo electrónico de phishing de aspecto estándar, solicitando un restablecimiento de contraseña. Para muchos usuarios, este correo electrónico puede ser suficiente para dejar de participar. Los servicios de seguridad pueden detectarlo, dada la discrepancia en la dirección del remitente. Pero el enlace en la dirección va a un depósito de AWS S3, que es legítimo.

Hay algunas cosas que notar. Primero está la URL. Es un S3 Bucket, un sitio legítimo de AWS. Cualquiera puede alojar un sitio web, estático o dinámico, en AWS. Requiere un poco más de habilidades de codificación que algunos de los otros ataques BEC 3.0, pero no es un gran impulso.

En segundo lugar, los piratas informáticos vuelven a crear una página de inicio de sesión de Microsoft. Además, la dirección de correo electrónico ya está completa; el usuario solo tiene que ingresar la contraseña. También notará en la barra de URL que hay una parte borrosa. Ahí es donde va la dirección de correo electrónico de la víctima, lo que hace que parezca que ya ha iniciado sesión.

Técnicas

A diferencia de algunos de los ataques BEC 3.0 que hemos estado documentando, este ataque requiere un poco más de habilidades técnicas por parte del atacante. Dicho esto, todavía es lo suficientemente básico para que lo ejecute el hacker promedio.

Los atacantes buscan credenciales. Una vez que obtenga las credenciales, tendrá las llaves del reino. En este ataque, los ciberdelincuentes utilizan un depósito S3 para alojar una página web que les redirigirá las credenciales.

Es bastante convincente, aunque no, como admitiremos, tan convincente como algunos de los otros de los que hemos expuesto recientemente.

Aún así, sigue una práctica con la que la mayoría de los usuarios están familiarizados: la tarea banal de restablecer una contraseña. Proporciona una página de inicio de sesión similar a la de Microsoft. Y el correo electrónico ya está lleno, un ingenioso truco de los piratas informáticos para otorgar legitimidad.

Los usuarios finales pueden detectar este ataque mirando la URL. Pero sabemos que no siempre es así. Es mucho más fácil simplemente ingresar su contraseña y terminar con el restablecimiento. Eso es lo que esperan los hackers.

Mejores prácticas: orientación y recomendaciones

Para protegerse contra estos ataques, los profesionales de la seguridad pueden hacer lo siguiente:

• Implemente seguridad que use IA para observar múltiples indicadores de phishing

• Implemente un paquete completo de seguridad que también puede escanear documentos y archivos.

• Implemente una sólida protección de URL que analice y emule páginas web