Human Risk Roundup: La estafa de ingeniería social de Salesforce expone los datos de la nube

En este número del Human Risk Roundup, detallamos una reciente estafa de ingeniería social de Salesforce que está liderando una oleada de sofisticados ataques. Además, los actores de amenazas están utilizando técnicas de vishing y phishing para explotar la confianza, y obtener acceso a datos sensibles en la nube y sistemas interconectados.

La estafa de ingeniería social de Salesforce tiene como objetivo los datos de la nube 

Los investigadores del Grupo de Inteligencia sobre Amenazas de Google (GTIG) están siguiendo la pista de UNC6040, un grupo de amenazas con motivaciones financieras que, según GTIG, está especializado en campañas de phishing de voz (vishing ) cuyo objetivo es comprometer los sistemas de Salesforce. Los agentes de UNC6040 utilizan actores de amenazas que se hacen pasar por personal de soporte informático y llaman a las víctimas. 

Este enfoque ha demostrado ser especialmente eficaz a la hora de engañar a los empleados, a menudo en sucursales de habla inglesa de corporaciones multinacionales, para que realicen acciones que concedan a los atacantes acceso o les lleven a compartir credenciales confidenciales, facilitando así el robo de datos de Salesforce de la organización. En todos los casos observados, los atacantes se basaron en manipular a los usuarios finales, no en explotar ninguna vulnerabilidad inherente a Salesforce, escribió Google Threat Intelligence Group (GTIG) en un post sobre la estafa. 

¿Qué ha pasado? 

Los atacantes se hicieron pasar por soporte de TI, llamaron a los empleados y les convencieron para que visitaran un sitio de phishing que imitaba una página de configuración de Salesforce. Las víctimas introducían códigos que concedían acceso basado en OAuth, lo que permitía a los atacantes infiltrarse en entornos de Salesforce y plataformas conectadas como Microsoft 365 y Okta. Los investigadores afirman que varias industrias fueron el objetivo, entre ellas el comercio minorista, la educación y la hostelería. 

Por qué es importante 

Esta campaña subraya cómo los atacantes explotan la confianza y las vulnerabilidades humanas para eludir defensas como la autenticación multifactor. Al dirigirse contra Salesforce, una plataforma crucial para las operaciones empresariales, la brecha afecta no sólo a los sistemas primarios, sino también a los entornos en nube interconectados, lo que amplifica los riesgos. 

Consejos prácticos para los responsables de seguridad 

Eduque a los usuarios para que detecten y denuncien los intentos de ingeniería social. 

Restrinja los permisos de las aplicaciones examinando las aplicaciones de terceros antes de aprobarlas. 

Revise los permisos OAuth para identificar y eliminar accesos no autorizados. 

Aplique fuertes controles de acceso con privilegios limitados y MFA. 

Lea más al respecto en CyberScoop.

La polilla Luna apunta a los bufetes de abogados  

Hablando de estafas de ingeniería social, el FBI está advirtiendo sobre Luna Moth, un grupo de ciberdelincuentes que está utilizando tácticas de phishing e ingeniería social para atacar a bufetes de abogados. Luna Moth, también llamada Silent Ransom Group (SRG), Chatty Spider, Storm-0252 y UNC3753, existe desde 2022. Utilizan una táctica denominada phishing de devolución de llamada o entrega de ataques orientados al teléfono (TOAD) para engañar a las víctimas y conseguir que llamen a números de teléfono que se incluyen en correos electrónicos de phishing relacionados con facturas y pagos de suscripciones.  

¿Qué ha pasado? 

Durante la llamada, se engaña a las víctimas para que instalen un software de acceso remoto, lo que da a los piratas informáticos el control del sistema. Funcionarios del FBI afirman que Luna Moth se hace pasar por personal informático y guía a los empleados a sesiones de acceso remoto para el robo de datos y la extorsión. 

Por qué es importante 

Al dirigirse a bufetes de abogados, donde los datos confidenciales de los clientes son fundamentales, estas campañas plantean graves riesgos para la reputación, el cumplimiento de la normativa y las operaciones en general. 

Consejos prácticos para los responsables de seguridad 

Forme a los empleados para que reconozcan los correos electrónicos de phishing y las tácticas de ingeniería social. 

Verifique las solicitudes de TI estableciendo protocolos de autenticación para llamadas o correos electrónicos. 

Supervise herramientas sospechosas como Rclone, WinSCP o programas de acceso remoto poco comunes. 

Desactive el acceso remoto externo para los sistemas no esenciales. 

Audite regularmente el tráfico de red en busca de conexiones inusuales a IPs externas. 

La estafa de los trabajadores informáticos norcoreanos sigue evolucionando  

La sofisticada trama en la que participan operativos norcoreanos que se hacen pasar por solicitantes de empleo y solicitan puestos en empresas tecnológicas utilizando perfiles falsos de LinkedIn y vídeos deepfake no muestra signos de remitir. En la actualidad, cientos de empresas han sido objetivo de los delincuentes, que desvían datos confidenciales y desvían ingresos para financiar los programas armamentísticos de Corea del Norte.

¿Qué ha pasado? 

El esquema ha ido creciendo desde al menos 2022. Según un reciente aviso publicado por el FBI, los actores de la amenaza están aumentando su actividad maliciosa para incluir la extorsión de datos. Alertas anteriores han señalado que un solo operativo puede ganar hasta 300.000 dólares al año, lo que contribuye a una canalización de decenas de millones de dólares que fluyen hacia las entidades sancionadas. Este mes, el Departamento de Justicia de EE.UU. se incautó de 7,74 millones de dólares en criptodivisas rastreadas hasta trabajadores informáticos norcoreanos que utilizaban identidades falsas para conseguir trabajos a distancia y canalizar el dinero.

Por qué es importante 

Se trata de un ejemplo paradigmático de riesgo interno impulsado por la manipulación humana. La confianza en el proceso de contratación se convierte en un arma, ya que estos agentes convierten sus puestos en plataformas de espionaje y ciberataques. 

Consejos prácticos para los responsables de seguridad 

Asegúrese de que los protocolos de contratación incluyen una verificación rigurosa de la identidad, incorporando comprobaciones de la autenticidad de los documentos y entrevistas en directo por vídeo. 

Implemente restricciones de acceso a los nuevos empleados para limitar la exposición a sistemas sensibles durante la incorporación. 

Supervise los patrones de comportamiento en busca de anomalías como entregas de equipos desviadas o solicitudes de acceso sospechosas. 

Apóyese en los programas de amenazas internas para identificar actividades inusuales vinculadas a empleados en puestos críticos. 

Promueva la concienciación con la educación de los trabajadores centrada en el reconocimiento de las tácticas de contratación fraudulentas y los riesgos internos. 

Lea más información de Beth Miller, CISO de campo de Mimecast, sobre este creciente problema.

Las estafas de phishing afectan a las agencias gubernamentales 

La suplantación de identidad (phishing) ha estado en el centro de varios incidentes gubernamentales que han acaparado titulares recientemente, lo que pone de relieve cómo sigue asolando a las organizaciones. Los recientes incidentes en la Agencia Tributaria del Reino Unido (HM Revenue and Customs, HMRC) y en organismos estatales de Texas e Illinois provocaron daños generalizados. 

¿Qué ha pasado? 

El HMRC sufrió una pérdida de 47 millones de libras a manos de un grupo de delincuencia organizada que explotó el phishing para recopilar datos de identidad y manipular el sistema fiscal Pay-As-You-Earn (PAYE). Aunque ninguna víctima sufrió pérdidas financieras directas, 100.000 cuentas se vieron afectadas, dejando al descubierto cómo los estafadores aprovechan la confianza para explotar sistemas críticos. 

En Texas, unos piratas informáticos violaron una cuenta del Sistema de Información de Registros de Colisiones (CRIS) del Departamento de Transporte, robando casi 300.000 informes de colisiones. Un aviso estatal señala que los datos incluían detalles sensibles como nombres, números de carné de conducir y pólizas de seguro, lo que suscita preocupación por el robo de identidad y el fraude. 

En Illinois, los ciberdelincuentes utilizaron un correo electrónico de phishing para comprometer a un empleado del Departamento de Sanidad y Servicios Familiares. Esto llevó a la exposición de números de la Seguridad Social, identificaciones estatales y detalles financieros vinculados a los programas Medicaid y de manutención infantil de casi 1.000 personas. 

Por qué es importante 

Estos ataques demuestran lo fácil que es para los delincuentes manipular a los usuarios para que concedan acceso a sistemas sensibles. El uso de credenciales auténticas, unido a tácticas de phishing, elude muchas defensas de seguridad.  

Consejos prácticos 

Imparta formación a los empleados: Eduque regularmente a los equipos sobre cómo detectar y denunciar las estafas de phishing. 

Refuerce los controles de acceso: Implemente una MFA robusta y limite los permisos de las cuentas. 

Supervise la actividad inusual: Habilite el registro en tiempo real y señale los comportamientos anómalos en los sistemas conectados. 

Más información en The Record.

Qué ver: La araña dispersa sigue tejiendo su tela 

Scattered Spider, el grupo de amenazas considerado responsable del reciente ataque al minorista británico Marks & Spencer, se dirige ahora a los proveedores de servicios gestionados y a los vendedores de TI en una campaña para infiltrarse entre los clientes de esas empresas. Un informe de ReliaQuest señala que el grupo está explotando los sistemas de los servicios de asistencia y dirigiéndose a credenciales de alto valor, en particular las de administradores de sistemas y ejecutivos. Utilizando tácticas avanzadas de ingeniería social como el phishing y el vishing, el grupo manipula la confianza humana para obtener el acceso inicial.

Lea más al respecto en Cybersecurity Dive.