Alertan sobre el incremento de casos de vishing

Una reciente alerta emitida por el FBI y la CISA en los Estados Unidos ha vuelto a poner en el foco de atención los ataques de vishing. Los delincuentes han aprovechado la situación excepcional provocada por la pandemia de la COVID-19, la cual ha forzado a muchas empresas a enviar a sus empleados a trabajar en remoto para realizar campañas de llamadas a usuarios con la finalidad de obtener credenciales y datos confidenciales.

Definición de vishing

Aunque a muchos les pueda parecer nuevo este término la realidad es que se trata de un tipo de ataques bastante antiguo e incluso en muchas ocasiones no está ni siquiera relacionado con la informática. ¿Quién no ha recibido o conoce a alguien que haya recibido una llamada de una persona que se hace pasar por alguien de su entidad bancaria, y que le solicita información sensible como sus datos personales e incluso los de su tarjeta de crédito?

Trasladado al mundo de la informática, esto consiste en llamar a un empleado de una empresa haciéndose pasar por alguien conocido o un responsable de algún área de la compañía (recursos humanos, soporte técnico, etc.), e incluso de alguna empresa con la que se tiene alguna relación. Una vez ganada su confianza se intenta que la víctima proporcione algún dato confidencial que le sea de utilidad a los atacantes, ya sea en forma de credenciales de acceso o de algún tipo de información interna.

El aviso emitido recientemente pone el foco en la obtención mediante vishing de credenciales de conexiones VPN a las redes corporativas. Tiene sentido si tenemos en cuenta que, con un elevado número de empleados trabajando desde casa, el acceso remoto a la red interna de la empresa se debe hacer de forma lo más segura posible. Mediante la obtención de estas credenciales, los delincuentes consiguen sortear una de las medidas de seguridad más implementadas y en la que confían muchas empresas de todo el mundo.

Detalles del ataque

Debemos tener en cuenta que los responsables de estos ataques no se conforman en contactar por teléfono con sus víctimas sino que los delincuentes también han registrado varios dominios suplantando a las páginas de acceso a las VPNs internas de la empresas objetivo, diseñadas también para robar los códigos de un solo uso emitidos por sistemas de doble factor de autenticación (2FA).

Como viene siendo habitual en muchos de los casos de phishing detectados desde hace tiempo, los atacantes se han tomado la molestia de usar un certificado válido en la web suplantada para que las víctimas vean el famoso candado verde en el sitio web fraudulento y no sospechen que están a punto de ser engañadas.

La selección de posibles objetivos se está realizando mediante la recopilación de información ubicada en perfiles públicos en todo tipo de plataformas e incluye datos como el nombre, dirección postal, número de teléfono, cargo en la empresa y el tiempo que lleva trabajando en ella. Una vez seleccionada la víctima, los atacantes llaman a su teléfono usando VoIP, aunque en fases más avanzadas del ataque pueden incluso llegar a suplantar los números de la empresa objetivo.

A partir de este punto se utiliza la ingeniería social y los datos de la víctima previamente obtenidos para ganarse su confianza, haciéndose pasar por el departamento de soporte de la empresa. Es entonces cuando intentan que la víctima acceda a una de las webs fraudulentas previamente preparadas para que introduzca sus credenciales de acceso a la VPN corporativa. Una vez obtenidas las claves y el código de un solo uso proporcionado por el doble factor de autenticación, los delincuentes acceden inmediatamente a la red corporativa utilizando las credenciales de la víctima.

En ataques más elaborados, los delincuentes han llegado a utilizar ataques de SIM Swapping para poder saltarse las capas de seguridad que ofrece la autenticación de doble factor y el uso de contraseñas de un solo uso. Al final, el objetivo de los atacantes es el de obtener información confidencial de otros empleados o de la propia empresa que después puedan aprovechar en su beneficio, ya sea económico o de otra índole.

Contramedidas

Como ya hemos indicado, la adopción del teletrabajo ha sido una situación forzada en muchas empresas para mitigar las consecuencias provocadas por la COVID-19. Esto ha provocado que ahora se realicen muchas más conexiones remotas protegidas por VPNs y que haya más puertos expuestos al exterior que los atacantes pueden aprovechar. Para mitigar este tipo de ataques se recomienda seguir las siguientes recomendaciones:

Recomendaciones para las empresas:

  • Restringir las conexiones VPN a aquellos dispositivos que estén gestionados remotamente y las horas de acceso a la red corporativa.
  • Revisar la creación de dominios para detectar aquellos que intenten suplantar la identidad de la empresa.
  • Analizar y revisar aplicaciones web en busca de accesos no autorizados, modificaciones y acciones fuera de lo común.
  • Implementar el principio del menor privilegio, así como limitar la ejecución de software al mínimo posible. Monitorizar el uso que hacen los usuarios del mismo.
  • Implementar el doble factor de autenticación si no se ha hecho todavía.

Recomendaciones para los usuarios:

  • Revisar los enlaces de aquellas webs que se visitan en búsqueda de errores en el nombre del dominio o la utilización de caracteres incorrectos.
  • Asegurarse de conocer y tener memorizada en el navegador la dirección correcta para acceder a la VPN de la empresa. Evitar acceder a sitios que nos hayan proporcionado mediante un enlace en un email o a través de una llamada telefónica.
  • Permanecer alerta ante correos electrónicos o llamadas no solicitadas por parte de individuos desconocidos que se hacen pasar por una empresa legítima o incluso nuestra propia empresa. No se debe proporcionar información de la empresa a menos que se sepa a ciencia cierta con quién se está hablando.
  • Si se recibe una llamada de vishing y se está seguro de ello, anotar el número de la persona que llama y la dirección web a la que se nos quiere redirigir para, seguidamente, informar a nuestro departamento de soporte.
  • Es aconsejable limitar la cantidad de información que subimos a redes sociales para evitar que sea usada en nuestra contra.

Conclusión

A pesar de que esta alerta se ha generado pensando en usuarios corporativos de Estados Unidos, es importante recordar que el vishing se puede producir en cualquier país. De hecho, una amenaza parecida que también emplea la comunicación telefónica y suplanta a una importante empresa como es Microsoft tiene desde hace tiempo a usuarios españoles entre sus objetivos. Por ese motivo conviene estar alerta y seguir los consejos proporcionados para ser capaces de detectar este tipo de amenazas en caso de que empiecen a producirse en nuestro país.

Josep Albors

“Paquete en centro de distribución”. Phishing suplantando a Eurosender