Netskope es un especialista edge de acceso seguro (SASE). Ahora ha presentado una nueva investigación que muestra cómo la prevalencia de las aplicaciones en la nube está cambiando la forma en que los actores de amenazas utilizan los métodos de entrega de ataques de phishing para robar datos. La nueva generación de ataques de phishing utiliza métodos de envío inesperados para robar datos.
El informe Netskope Cloud and Threat Report: Phishing detalla las tendencias en los métodos de entrega de phishing. Algunos ejemplos son páginas de inicio de sesión falsas y aplicaciones en la nube de terceros falsas diseñadas para imitar aplicaciones legítimas. También habla de los objetivos de los ataques de phishing, dónde se aloja el contenido fraudulento y más.
El correo electrónico sigue siendo un mecanismo principal para entregar enlaces de phishing a páginas de inicio de sesión falsas para capturar nombres de usuario, contraseñas, códigos MFA y más. Sin embargo, el informe revela que los usuarios hacen clic con mayor frecuencia en enlaces de phishing que llegan a través de otros canales. Esto incluye sitios web y blogs personales, redes sociales y los resultados de los motores de búsqueda. El informe también detalla el aumento de aplicaciones falsas en la nube de terceros diseñadas para engañar a los usuarios para que autoricen el acceso a sus datos y recursos en la nube.
La nueva generación de ataques de phishing utiliza métodos de envío inesperados para robar datos
Considerada tradicionalmente como la principal amenaza de phishing, el 11 % de las alertas de phishing procedían de servicios de correo web, como Gmail, Microsoft Live y Yahoo. Los sitios web y blogs personales, en particular los alojados en servicios de alojamiento gratuitos, fueron los remitentes más comunes de contenido de phishing, ocupando el primer lugar con un 26 %. El informe identificó dos métodos principales de referencia de phishing. El uso de enlaces maliciosos a través de spam en sitios web y blogs legítimos, y el uso de sitios web y blogs creados específicamente para promover contenido de phishing.
Las referencias de los motores de búsqueda a páginas de phishing también se han vuelto comunes. Esto es porque los atacantes están creando vacíos de datos al crear páginas centradas en términos de búsqueda poco comunes. Aquí pueden establecerse fácilmente como uno de los mejores resultados para esos términos. Los ejemplos identificados por Netskope Threat Labs incluyen cómo usar funciones específicas en software popular. También respuestas de cuestionarios para cursos en línea, manuales de usuario para una variedad de productos comerciales y personales, y más.
Ray Canzanese, director de investigación de amenazas de Netskope Threat Labs, dijo lo siguiente. “Los empleados comerciales han sido capacitados para detectar mensajes de phishing en correos electrónicos y mensajes de texto. Es por esto que los actores de amenazas han ajustado sus métodos y están atrayendo a los usuarios para que hagan clic en enlaces de phishing en otros menos esperados».
El auge de las aplicaciones falsas en la nube de terceros
El informe de Netskope revela otro método clave de phishing. Engañar a los usuarios para que otorguen acceso a sus datos y recursos en la nube a través de aplicaciones en la nube falsas de terceros.
Esta tendencia temprana es particularmente preocupante. Lo es porque el acceso a aplicaciones de terceros es omnipresente y presenta una gran superficie de ataque. En promedio, los usuarios finales de las organizaciones otorgaron a más de 440 aplicaciones de terceros acceso a sus datos y aplicaciones de Google.
Una organización tenía hasta 12.300 complementos diferentes para acceder a los datos, un promedio de 16 complementos por usuario. Igualmente alarmante, más del 44 % de todas las aplicaciones de terceros que acceden a Google Drive tienen acceso a datos confidenciales o a todos los datos en el Google Drive de un usuario. Esto incentiva aún más a los delincuentes a crear aplicaciones falsas en la nube de terceros.
Dentro del informe, Netskope Threat Labs incluye pasos prácticos que las organizaciones pueden tomar para identificar y controlar el acceso a sitios o aplicaciones de phishing. Un ejemplo es implementar una plataforma en la nube de edge de servicio de seguridad (SSE) con una puerta de enlace web segura (SWG),. Esto permite principios de confianza cero para acceso con privilegios mínimos a los datos y monitoreo continuo, y uso de Aislamiento de navegador remoto (RBI) para reducir el riesgo de navegación para dominios recién registrados.