- Los investigadores de ciberseguridad han notado un aumento en los correos electrónicos de phishing de direcciones de correo electrónico legítimas.
- Afirman que estos mensajes falsos aprovechan una falla en un servicio popular de Google y las medidas de seguridad laxas de las marcas suplantadas.
- Esté atento a las señales reveladoras de phishing, incluso cuando el correo electrónico parezca ser de un contacto legítimo, sugieren los expertos.
BestforBest / Getty Images
El hecho de que ese correo electrónico tenga el nombre correcto y una dirección de correo electrónico correcta no significa que sea legítimo.
Según los detectives de seguridad cibernética de Avanan, los actores de phishing han encontrado una manera de abusar del servicio de retransmisión SMTP de Google, que les permite suplantar cualquier dirección de Gmail, incluidas las de marcas populares. La nueva estrategia de ataque otorga legitimidad al correo electrónico fraudulento, permitiéndole engañar no solo al destinatario sino también a los mecanismos de seguridad del correo electrónico automatizado.
«Los actores de amenazas siempre están buscando el próximo vector de ataque disponible y encuentran formas creativas de eludir los controles de seguridad como el filtrado de correo no deseado», dijo Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel, a Lifewire por correo electrónico. «Como indica la investigación, este ataque utilizó el servicio de retransmisión SMTP de Google, pero ha habido un aumento reciente en los atacantes que aprovechan fuentes ‘confiables'».
No confíes en tus ojos
Google ofrece un servicio de retransmisión SMTP que utilizan los usuarios de Gmail y Google Workspace para enrutar los correos electrónicos salientes. La falla, según Avanan, permitió a los phishers enviar correos electrónicos maliciosos haciéndose pasar por cualquier dirección de correo electrónico de Gmail y Google Workspace. Durante dos semanas en abril de 2022, Avanan detectó casi 30 000 correos electrónicos falsos.
En un intercambio de correos electrónicos con Lifewire, Brian Kime, vicepresidente de estrategia y asesoramiento de inteligencia de ZeroFox, compartió que las empresas tienen acceso a varios mecanismos, incluidos DMARC, el marco de política del remitente (SPF) y el correo identificado de claves de dominio (DKIM), que esencialmente ayudan a recibir los servidores de correo electrónico rechazan los correos electrónicos falsificados e incluso informan la actividad maliciosa a la marca suplantada.
«Cuando tengas dudas, y casi siempre deberías tener dudas, [people] siempre debe usar rutas confiables… en lugar de hacer clic en enlaces…»
«La confianza es enorme para las marcas. Tan grande que los CISO tienen cada vez más la tarea de liderar o ayudar en los esfuerzos de confianza de una marca», compartió Kime.
Sin embargo, James McQuiggan, defensor de la conciencia de seguridad en KnowBe4, le dijo a Lifewire por correo electrónico que estos mecanismos no se usan tan ampliamente como deberían, y las campañas maliciosas como la informada por Avanan se aprovechan de esa laxitud. En su publicación, Avanan señaló a Netflix, que usó DMARC y no fue falsificado, mientras que Trello, que no usa DMARC, sí lo fue.
En caso de duda
Clements agregó que si bien la investigación de Avanan muestra que los atacantes explotaron el servicio de retransmisión SMTP de Google, ataques similares incluyen comprometer los sistemas de correo electrónico de una víctima inicial y luego usarlos para más ataques de phishing en toda su lista de contactos.
Es por eso que sugirió que las personas que buscan mantenerse a salvo de los ataques de phishing deberían emplear múltiples estrategias defensivas.
Para empezar, está el ataque de suplantación de nombre de dominio, en el que los ciberdelincuentes utilizan varias técnicas para ocultar su dirección de correo electrónico con el nombre de alguien que el objetivo puede conocer, como un miembro de la familia o un superior en el lugar de trabajo, esperando que no se esfuerce por asegúrese de que el correo electrónico provenga de la dirección de correo electrónico oculta, compartió McQuiggan.
«La gente no debería aceptar ciegamente el nombre en el campo ‘De'», advirtió McQuiggan, y agregó que al menos deberían ir detrás del nombre para mostrar y verificar la dirección de correo electrónico. «Si no están seguros, siempre pueden comunicarse con el remitente a través de un método secundario, como un mensaje de texto o una llamada telefónica, para verificar el remitente que quería enviar el correo electrónico», sugirió.
Sin embargo, en el ataque de retransmisión SMTP descrito por Avanan, confiar en un correo electrónico solo con mirar la dirección de correo electrónico del remitente no es suficiente, ya que el mensaje parecerá provenir de una dirección legítima.
«Afortunadamente, eso es lo único que diferencia este ataque de los correos electrónicos de phishing normales», señaló Clements. El correo electrónico fraudulento aún tendrá los signos reveladores de phishing, que es lo que la gente debe buscar.
Por ejemplo, Clements dijo que el mensaje podría contener una solicitud inusual, especialmente si se transmite como un asunto urgente. También tendría varios errores tipográficos y otros errores gramaticales. Otra bandera roja serían los enlaces en el correo electrónico que no van al sitio web habitual de la organización del remitente.
«Cuando tengas dudas, y casi siempre deberías tener dudas, [people] siempre debe usar rutas confiables, como ir directamente al sitio web de la empresa o llamar al número de soporte que aparece allí para verificar, en lugar de hacer clic en los enlaces o comunicarse con los números de teléfono o los correos electrónicos que figuran en el mensaje sospechoso», aconsejó Chris.
¡Gracias por dejarnos saber!
