- Los atacantes explotan al personal de la mesa de ayuda para obtener acceso no autorizado al sistema de nómina
- La ingeniería social permite a los piratas informáticos redirigir los salarios de los empleados sin activar alertas
- Dirigirse a cheques de pago individuales mantiene los ataques bajo el radar de las fuerzas del orden y las empresas.
Los sistemas de nómina son cada vez más el objetivo de los ciberdelincuentes, especialmente durante los períodos en los que se esperan bonificaciones y pagos de fin de año.
Inteligencia de amenazas de Okta informes que los atacantes se centren menos en irrumpir en la infraestructura y más en explotar los procesos humanos involucrados en el acceso a la nómina.
En lugar de implementar ransomware masivo o campañas de phishing, estos actores pretenden desviar silenciosamente los salarios individuales manipulando los flujos de trabajo de recuperación de cuentas.
Las mesas de ayuda emergen como el eslabón más débil
Al rastrear una campaña conocida como O-UNC-034, Okta informó que los atacantes están llamando directamente a los servicios de asistencia corporativa.
Haciéndose pasar por empleados legítimos, solicitan restablecer contraseñas o cambios de cuenta, basándose en ingeniería social en lugar de exploits técnicos.
Estas convocatorias han afectado a organizaciones de los sectores educativo, manufacturero y minorista, lo que indica que ninguna industria es el foco.
Una vez que se concede el acceso, los atacantes intentan registrar sus propios métodos de autenticación para mantener el control sobre la cuenta comprometida.
Después de tomar el control de la cuenta de un empleado, los atacantes rápidamente pasan a plataformas de nómina como Workday, Dayforce HCM y ADP.
Alteran los datos bancarios para que los pagos futuros se redireccionen a otra parte, a menudo sin detección inmediata.
Dado que el robo tiene como objetivo cheques de pago individuales, las pérdidas financieras pueden parecer pequeñas cuando se consideran de forma aislada.
Esto reduce la probabilidad de una rápida escalada o atención por parte de las autoridades.
A escala, este enfoque puede generar grandes retornos y permitir el robo de identidad sin generar alarmas asociadas con violaciones más grandes.
Los analistas de amenazas sugieren que el robo de salarios individuales es menos visible que las grandes filtraciones de datos o las campañas de extorsión.
Los atacantes pueden refinar aún más los objetivos a través de un reconocimiento básico, centrándose en personas con mayores ingresos o empleados programados para recibir una indemnización por despido.
Las campañas anteriores se basaban en publicidad maliciosa y phishing de credenciales, pero el cambio a interacciones telefónicas en vivo refleja tácticas que eluden por completo las defensas técnicas.
Las herramientas antivirus ofrecen poca protección cuando los atacantes obtienen credenciales voluntariamente durante una conversación convincente.
Del mismo modo, las herramientas de eliminación de malware, si bien son relevantes para otras amenazas, no abordan esta categoría de ataque.
La guía de seguridad enfatiza procedimientos estrictos de verificación de identidad para el personal de soporte que maneja las solicitudes de recuperación de cuentas.
Se recomienda al personal de soporte técnico de primera línea que no modifique directamente los factores de autenticación, sino que emita códigos de acceso temporales sólo después de realizar comprobaciones de identidad exitosas.
También se alienta a las organizaciones a limitar el acceso a aplicaciones confidenciales a dispositivos administrados y aplicar un escrutinio más estricto a las solicitudes que se originan en ubicaciones o redes inusuales.
“Es interesante ver cómo los estafadores de nómina se unen al creciente número de grupos de actores de amenazas que apuntan a los profesionales de soporte técnico para obtener acceso a las cuentas de los usuarios”, dijo Brett Winterford, vicepresidente de inteligencia de amenazas de Okta.
“Esta situación subraya la importancia de brindar al personal de soporte de TI las herramientas necesarias para verificar las identidades de las personas que llaman y brindarles opciones de recuperación de cuentas que limiten la capacidad de una persona que llama no autorizada para tomar el control de una cuenta”.
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
