Los piratas informáticos están utilizando el envoltorio de enlace para robar su inicio de sesión de Microsoft 365

Marco de la nubeEl equipo de seguridad de correo electrónico recientemente descubrió una nueva técnica de phishing. Los atacantes están utilizando cuentas de correo electrónico comprometidas para disfrazar los enlaces maliciosos a través de servicios de envoltura de enlaces legítimos. Servicios como los de PruebePoint o Intermedia reescriben enlaces entrantes a dominios confiables y los escanean automáticamente, un mecanismo de protección que, en este caso, se convierte en una puerta de enlace.

Los enlaces se ven engañosamente genuinos

Los atacantes acortan sus enlaces usando cortes de URL y los envían a través de cuentas pirateadas. Las soluciones de seguridad proporcionan los enlaces un dominio “seguro”, lo que los hace parecer legítimos. Pero detrás de las URL acechan las páginas de phishing que imitan engañosamente las páginas de inicio de sesión de Microsoft 365. Las líneas de asunto como “nuevo correo de voz”, “documento seguro para la recuperación” o “nuevo mensaje en equipos de Microsoft” están diseñados para atraer a los usuarios desprevenidos. Algunos correos electrónicos incluso se plantean como mensajes “ZIX” cifrados, un sistema bien conocido para la comunicación segura.

Al hacer clic en botones aparentemente inofensivos como “responder”, conduce directamente a páginas de inicio de sesión falsas diseñadas para robar credenciales. Según Cloudflare, los atacantes usan la confiabilidad de los enlaces reescritos para evitar filtros de seguridad. Tales métodos no son nuevos. Los servicios como Google Drive ya han sido abusados de manera similar, pero la explotación específica de la envoltura de enlaces es un nuevo capítulo en el libro de jugadas de Phishing.

Cloudflare escribe sobre esto en su informe:

Los proveedores utilizan el envoltura de enlaces como Proofpoint para proteger a los usuarios. Esto implica enrutar todas las URL de clic a través de un servicio de escaneo para que los objetivos maliciosos conocidos puedan bloquearse en el momento del clic. […] Este método de defensa es bastante efectivo contra amenazas conocidas. Sin embargo, los ataques aún pueden tener éxito si el enlace envuelto aún no ha sido marcado como peligroso por el escáner al momento de hacer clic.

Las empresas necesitan repensar la seguridad

Esta es una llamada de atención para usuarios y organizaciones: la detección automática de enlaces maliciosos ya no es suficiente. Los administradores de TI deben actualizar los firewalls y los filtros de correo electrónico, aumentar la capacitación de los empleados y requerir autenticación multifactor para cuentas de Microsoft 365. Estos ataques destacan la facilidad con que los cibercriminales pueden convertir las herramientas de protección en vulnerabilidades.