Microsoft Teams, la nueva barrera para los ataques de phishing. Los ataques de phishing basados en correo electrónico han demostrado ser más exitosos que nunca. Sin embargo, los atacantes están aumentando sus esfuerzos para atacar a los empleados en plataformas adicionales como Microsoft Teams.
Una ventaja es que en estas aplicaciones, la mayoría de los empleados aún asumen que en realidad están hablando con su jefe o compañero de trabajo al recibir un mensaje.
«La parte aterradora es que confiamos implícitamente en estos programas. Esto es a diferencia de nuestras bandejas de entrada de correo electrónico. Aquí sí que hemos aprendido a sospechar de los mensajes en los que no reconocemos la dirección del remitente». Esto lo dijo Armen Najarian, director de identidad de tecnología antifraude de Outseer.
En particular, el phishing tradicional no se ha desacelerado. Proofpoint informó que el 83% de las organizaciones experimentaron un ataque de phishing basado en correo electrónico exitoso en 2021. Esto es un salto masivo comparado con el 57% de 2020. Fuera del correo, los ataques por SMS y los basados en voz también han crecido en 2021.
Sin embargo, parece que los atacantes ahora ven las plataformas de colaboración como Teams como otra oportunidad. Esto es lo que dicen los investigadores de seguridad y los ejecutivos. Para algunos actores de amenazas, también es una oportunidad para aprovechar las capacidades adicionales de las aplicaciones de colaboración como parte del engaño.
Microsoft Teams, la nueva barrera para los ataques de phishing
Patrick Harr, CEO del proveedor de protección contra el phishing SlashNext, comentó que un ataque altamente sofisticado de phishing golpeó recientemente a un cliente en Microsoft Teams.
Sucedió, dijo Harr, mientras el CEO de la empresa viajaba a China. Haciéndose pasar por el CEO, un atacante envió un mensaje de WhatsApp a varios de sus empleados. Les pedía que se unieran a una reunión de Teams.
Una vez en la reunión, los empelados vieron un vídeo del CEO, pero no se dieron cuenta que había sido extraído de una entrevista anterior. Como parte del engaño, los atacantes agregaron un fondo falso al vídeo para que pareciese que el CEO estaba en China.
Sin embargo, no había audio. El «CEO» decía que «debía haber una maña conexión» y después colocó un enlace de SharePoint en el chat.
Haciéndose pasar por el CEO, el atacante les dijo a los empleados que «ya que no puedo hacer que esto funcione, envíenme la información a este enlace de SharePoint».
Un empleado terminó haciendo clic en ese enlace, pero se le bloqueó el acceso a la página. En última instancia, el incidente demuestra que «los malos actores se están anidando en servicios legítimos«, dijo Harr. «Se están volviendo muy creativos. Se mantienen a la vanguardia».
Un gran objetivo
Microsoft Teams está muy extendido en las empresas. Cuentan con 270 millones de usuarios activos mensuales, y esto hizo que los atacantes lo pusiesen en el punto de mira.
Los actores de amenazas también han detectado algunas otras cosas sobre Teams. Si pueden adquirir la contraseña de Microsoft Office 365 de una cuenta, esto también pueden llevarlo a Teams. Aunque más trabajadores pueden conocer las técnicas de phishing de correo electrónico en este punto, es menos probable que sospechen de un mensaje de Teams.
Los atacantes están aprovechando la oportunidad. En enero, la plataforma de seguridad de correo electrónico Avanan vio miles de ataques que involucraban malware en las conversaciones de Teams. Esto es lo que informaron investigadores de la organización propiedad de Check Point.
Al adjuntar un archivo ejecutable malicioso en una conversación de Microsoft Teams, los «piratas informáticos han encontrado una nueva forma de atacar fácilmente a millones de usuarios». Esto es lo que escribían los investigadores. Cuando haces clic en él, el archivo .exe instala un troyano en el PC con Windows del usuario. El troyano después instala el malware.
Los ataques están teniendo éxito porque con Microsoft Teams, a diferencia del correo electrónico, «los usuarios finales tienen una confianza inherente en la plataforma», escribían también estos investigadores.
En última instancia, los incidentes informados por Avanan muestran que «los piratas están comenzando a comprender y utilizar mejor Teams como un vector de ataque potencial».
En otras palabras, como siempre hacen, los ciberatacantes están evolucionando una vez más.