Loading...
Cover Image of  Phishing: Teletrabajo + Coronavirus

Phishing: Teletrabajo + Coronavirus

Debido a razones de fuerza mayor, por todos conocidas, una enorme cantidad de compañías se han visto obligadas a implementar de urgencia el modelo de teletrabajo entre sus empleados.

   En muchos casos esta repentina urgencia ha llegado tan de golpe que muchas empresas se han visto obligadas a montarlo sin poder contar con las medidas de seguridad adecuadas y sin poder dar a los empleados una mínima formación al respecto.

  Los cyber-delincuentes, muy conscientes de este hecho, están sacando partida de ello:  Estamos detectando correos electrónicos que suplantan la identidad de los departamentos técnicos de las compañías, CAUs, etc. y solicitan datos a los usuarios, con la excusa de poder mantener operativo el servicio de teletrabajo.

  Estos correos suelen usar el término genérico "Servicio Técnico" en el asunto y/o en la firma, su redacción no contiene errores, y el campo "from:" muestra el dominio de la empresa, por lo que para un usuario final son difíciles de detectar.

 Dadas las circunstancias, la probabilidad de que el usuario facilite los datos es muy alta, lo que hace esta campaña especialmente peligrosa.
 
Acciones recomendadas:

  • Iberlayer marca el asunto de los correos con un texto especial cuando se detecta un correo externo que usa en el campo "from:" un dominio interno. Es importante recordar la importancia de esta marca, porque sirve precisamente para prevenir engaños como este.
  • En la medida de lo posible advertir a los usuarios sobre esta amenaza.
  • En la medida de lo posible recordar a los usuarios cuál es el mecanismo de contacto con el departamento de TI/CAU, etc. y que este jamás le pedirá sus datos personales, de acceso, etc.
  • Es altamente probable que tras estos correos se produzca una llamada de teléfono al usuario, de nuevo haciéndose
  • pasar por el Servicio Técnico. Nos permitimos con estas líneas sugerir que siempre que haya que dar algún tipo de dato, sea el usuario quien inicie la llamada o envíe el primer email.
 

Cover Image of Autoadaptación de Emotet

Autoadaptación de Emotet

La campaña de Emotet, reactivada tras el parón navideño, ha dejado de enviar mensajes genéricos para conseguir que sus víctimas "piquen" y ha pasado a particularizar los mensajes al "argot laboral" de cada víctima, lo que implica un análisis previo de las compañías...

Así, por ejemplo, estamos detectando que:

Los envíos dirigidos a entidades aseguradoras contienen asuntos como:

 

El Phishing bancario no descansa

A pesar de la aparente pausa en la actividad de Emotet, una de las cyberamenazas mas serias y longevas, el tradicional Phishing sigue campando a sus anchas. Según nuestras propias estadísticas, la esperanza de éxito es aproximadamente de media del uno por mil, es decir, de cada mil correos enviados, uno conseguirá un click en el enlace malicioso.

Desde principios de Enero Iberlayer Email Guardian ha detectado y bloqueado algo más de 16.000 correos de Phishing bancario.

El 12% de las URLs corresponden a entornos WordPress que han sido hackeados para hospedar el clon de la web del banco correspondiente.

La siguiente gráfica muestra el número de URLs diferentes que hemos encontrado de algunos de los principales bancos en España e IberoAmerica en lo que llevamos transcurrido de mes, encabezada por BancoSantander(267 URLs)  y Bancolombia (346 URLs).

 

Cover Image of Ataque masivo de Ransomware

Ataque masivo de Ransomware

Durante las últimas horas desde Iberlayer estamos detectando una nueva campaña muy agresiva de envío masivo de correos que dicen proceder del Ministerio de Seguridad Argentino.

Estos correos incluyen archivos maliciosos en formato OLE (principalmente bajo el nombre nota_gerencia_de_adm.doc) y enlaces a servidores infectados. Ambos vectores de ataque apuntan a un virus de tipo Ransomware.

Nuestro servicio Email Guardian ha detectado la campaña desde su mismo inicio gracias a nuestra tecnología AMBAR basada en detección de algortimos de generación. El 90% de los envíos se realiza desde dominios con SPF bien configurado (en modo hard fail) y en muchos casos incluso incluyen firmas DKIM correctas, lo que sugiere un uso masivo y automatizado de cuentas secuestradas, seguramente mediante algún ataque de Phishing previo a esos dominios.