Netskope, líder en Secure Access ServiceEdge (SASE), acaba de presentar su último Cloud and ThreatReport donde se muestra cómo la prevalencia de aplicaciones en la nube está cambiando la forma en que los ciberdelincuentes utilizan nuevos métodos de entrega de los ataques de phishing para robar datos.
El Informe sobre la nube y las amenazas de Netskope: Phishing, detalla, entre otras, las tendencias en los métodos de entrega de phishing, tales como las páginas de inicio de sesión falsas, junto con las aplicaciones en la nube de terceros fraudulentas y diseñadas para imitar las aplicaciones legítimas y donde se aloja el contenido.
Aunque el correo electrónico sigue siendo el principal vector de entrega de enlaces de phishing a páginas de inicio de sesión falsas para capturar nombres de usuarios, contraseñas, códigos MFA, etc., el informe revela que los usuarios hacen clic cada vez con más frecuencia en los enlaces de phishing que llegan a través de otros canales, como sitios web y blogs personales, redes sociales y resultados de motores de búsqueda. El informe también detalla el aumento de aplicaciones falsas de terceros en la nube diseñadas para engañar a los usuarios para que autoricen el acceso a sus datos y recursos en la nube.
El phishing cada vez más presente
Tradicionalmente considerada la principal amenaza de phishing, el 11% de las alertas de phishing fueron remitidas desde servicios de correo web, como Gmail, Microsoft Live y Yahoo. Asimismo, los sitios web personales y los blogs, en particular los alojados en servicios de alojamiento gratuitos, fueron los remitentes más comunes de los contenidos de phishing, ocupando el primer puesto con un 26%. El informe también identifica dos métodos principales de remisión de phishing: el uso de enlaces maliciosos a través de spam en sitios web y blogs legítimos, y la utilización de sitios web y blogs creados específicamente por los ciberdelincuentes para promover el contenido de phishing.
Por su parte, los motores de búsqueda que llevan a páginas de phishing también se han vuelto más comunes. El atacante aprovecha los vacíos de datos creando páginas centradas en términos poco comunes y posicionando resultados entre los primeros. En este sentido, Netskope Threat Labs ha identificado algunos que incluyen búsquedas, por ejemplo, de cómo utilizar funciones específicas en programas informáticos conocidos, respuestas a cuestionarios de cursos en línea, manuales de usuario de diversos productos empresariales y personales, etc.
El auge de falsas aplicaciones de terceros en la nube
El informe de Netskope revela otro método clave de phishing: engañar a los usuarios para que permitan el acceso a sus datos y recursos en la nube a través de falsas aplicaciones de terceros. Esto es especialmente preocupante, porque el acceso a aplicaciones de terceros es omnipresente y supone una gran superficie de ataque.
Por término medio, empleados de organizaciones facilitaron a más de 440 aplicaciones de terceros el acceso a sus datos y aplicaciones de Google, incluso una organización llegó a tener hasta 12.300 plugins diferentes que accedían a los datos, una media de 16 plugins por usuario. Igualmente alarmante es el hecho de que más del 44% de las aplicaciones de terceros que acceden a Google Drive tienen acceso a datos sensibles o a todos los datos de Google Drive del usuario, lo que incentiva aún más a los delincuentes a crear aplicaciones falsas de terceros en la nube.
Ray Canzanese, director de Investigación de Netskope Threat Labs, comenta. ‘Los ataques de phishing de próxima generación ya están aquí. El aumento de aplicaciones en la nube y la naturaleza cambiante de su uso, bien desde extensiones de Chrome o complementos de las apps –que piden autorización de acceso a los usuarios-, se está ignorando. Desde Netskope estamos monitoreando estas amenazas y rastreándolas para nuestros clientes y creemos que este tipo de ataques aumentará con el tiempo. Las organizaciones deben asegurarse de que las nuevas vías de ataque, como las autorizaciones OAuth, estén restringidas o bloqueadas. Los empleados también deben ser conscientes de estos ataques einvestigar las solicitudes de autorización de la misma manera que examinan los correos electrónicos y los mensajes de texto’.
Principales conclusiones clave del informe:
- Los empleados siguen siendo víctimas con un solo clic a enlaces maliciosos. Basta este pequeño gesto para comprometer gravemente a una organización. Aunque la concienciación y la formación sobre el phishing en las empresas sigue siendo más frecuente, el informe revela que, de media, ocho de cada 1.000 usuarios finales de la empresa hicieron clic en un enlace de phishing o intentaron acceder a contenidos de phishing de otra manera.
- Los usuarios son atraídos por sitios web falsos que imitan páginas de inicio de sesión legítimas. Los atacantes alojan estos sitios web, principalmente en servidores de contenido (22%), seguidos de dominios recién registrados (17%). Una vez que los usuarios introducen información personal en un sitio falso, o permiten el acceso a sus datos, los atacantes son capaces de capturar nombres de usuario, contraseñas y códigos de autenticación multifactor (MFA).
- La ubicación geográfica influye en la frecuencia de acceso al phishing. África y Oriente Medio fueron las dos regiones con mayores porcentajes de usuarios que accedieron a contenidos de phishing. En África, más del 33% de usuarios acceden a contenidos de phishing, una cifra superior a la media, mientras que en Oriente Medio es más del doble de la media. Los atacantes suelen utilizar el miedo, la incertidumbre y la duda (FUD) para diseñar ganchos de phishing o sacar provecho de las noticias importantes. Especialmente en Oriente Medio, los atacantes parecen tener éxito en el diseño de señuelos que aprovechan problemas políticos, sociales y económicos que afectan a la región.
En el informe, Netskope Threat Labs también se incluyen los pasos que las organizaciones pueden adoptar para identificar y controlar el acceso a los sitios o aplicaciones de phishing, tales como la implementación de una plataforma servicio de seguridad en el borde (Security ServiceEdge – SSE) en la nube con una puerta de enlace web segura (SWG), la habilitación de los principios de confianza cero para el acceso de mínimo privilegio a los datos y la supervisión continua, y el uso de aislamiento remoto del navegador (RBI) para reducir el riesgo de navegación para los dominios recién registrados.
Netskope proporciona protección contra amenazas y datos a millones de usuarios en todo el mundo. La información presentada en este informe se basa en datos de uso anónimos recogidos por la plataforma Netskope Security Cloud relativos a un subconjunto de clientes de Netskope con autorización previa. Las estadísticas de este informe se basan en el período de tres meses comprendido entre el 1 de julio de 2022 y el 30 de septiembre de 2022.
Puede descargar el informe completo de Netskope Cloud and ThreatReport: Phishingaquí.
Obtenga más información sobre Netskope ThreatLabs y sobre Netskope Security Cloud Platform de la plataforma de nube de seguridad de Netskope visitando el Centro de Investigación de Amenazas de Netskope.