Cómo los ciberdelincuentes utilizan Microsoft Office Sway para robar sus credenciales

Publicado: 2020-02-29

Nueva técnica de phishing usa programa de Microsoft para atacar organizaciones, incluso si no lo usan

Microsoft Office Sway se ha encontrado en el centro de una nueva preocupación de phishing.

En los últimos años, los ataques de phishing se han convertido en la principal herramienta a disposición de los ciberdelincuentes.

De hecho, el phishing representa un asombroso 90 % de todas las filtraciones de datos.

Ser víctima de un ataque de este tipo puede ser desastroso (ya menudo fatal) para una empresa.

El coste financiero medio de una filtración de datos es de 3,86 millones de dólares

Publicación relacionada: Por qué un plan de recuperación ante desastres es vital para las PYMES

Con el aumento de los ataques cibernéticos en las pequeñas y medianas empresas (el 43 % de todos los ataques se dirigen a las pymes), los responsables de la toma de decisiones y los propietarios están comprensiblemente preocupados por el estado de la ciberseguridad.

Los piratas informáticos dedican su tiempo a idear nuevas formas de engañar a las víctimas desprevenidas.

Particularmente preocupante para los dueños de negocios es la tasa de éxito de estos ataques.

El 30 % de los mensajes de phishing son abiertos por usuarios específicos, y el 12 % de ellos hará clic en el archivo adjunto o enlace malicioso del correo electrónico.

Los piratas informáticos ahora tienen una nueva herramienta favorita: Microsoft Sway.

¿Qué es Microsoft Sway?

Microsoft Sway es uno de los productos más recientes en los esfuerzos de la compañía por invertir más en sus servicios solo en la nube.

Lanzado en 2015, Sway actúa esencialmente como la versión web y móvil de PowerPoint.

Donde PowerPoint es más viejo, torpe y pesado; Sway es delgado, elegante y está diseñado para ser liviano y fácil de usar.

Permite a los usuarios crear presentaciones y boletines y les brinda una página de destino para su Sway.

¿Por qué los piratas informáticos utilizan Microsoft Sway para el phishing?

Para los ciberdelincuentes, la autenticidad es clave.

Los correos electrónicos de phishing rudimentarios, con errores ortográficos y gramaticales, logotipos pixelados y direcciones de correo electrónico sospechosas, tienen muchas más probabilidades de ser descubiertos por los usuarios que esfuerzos más sofisticados.

Con Sway, reciben una página de destino, que se presenta como una página web auténtica y legítima que puede engañar fácilmente a las víctimas desprevenidas.

Hay características que hacen de Sway una herramienta ideal para los delincuentes, a saber:

  • Las páginas de Sway están alojadas en el dominio office.com, lo que le da un sello de aprobación crucial que permite que Microsoft "confíe" en él.
  • Si ha iniciado sesión en su cuenta de Office, las páginas de Sway están estilizadas con la marca de Office 365 que hace que parezca aún más legítimo
  • La marca familiar, como el logotipo de SharePoint, entre el primer contacto y el final agrega otro nivel de autenticidad a estas estafas.

Eche un vistazo a lo siguiente, ¿sería capaz de decir que esto fue malicioso? msofficeswayphishing

¿Como funciona?

Los piratas informáticos utilizan el phishing con Microsoft Sway de la misma manera que funciona una campaña de phishing tradicional.

Publicación relacionada: Infografía: Las 13 principales estadísticas de phishing que las pymes deben conocer

Recibirá un correo electrónico, que probablemente provendrá de un dominio asociado con Microsoft, como ejemplo.onmicrosoft.com.

Debido a que Microsoft confía en los dominios de Sway y Office, estas direcciones a menudo pasarán por estrictos filtros de correo electrónico y llegarán directamente a su bandeja de entrada.

El 76% de las empresas informaron haber sido víctimas de un ataque de phishing en el último año.

Una vez que hace clic en el correo electrónico, lo dirige a una página de destino; esa página a menudo se verá como la pantalla de inicio de sesión familiar para Office 365.

Luego, cuando haya ingresado sus credenciales en los cuadros de formulario de nombre de usuario y contraseña, tendrán acceso a su cuenta.

Puede ser vulnerable a estos ataques incluso si no usa Sway.

Lo único que necesita para que ataquen es una dirección de correo electrónico para que le envíen un mensaje.

Observe cuán convincente es la siguiente pantalla de inicio de sesión:

perspectivaconvincentephishingscam01

¿Por qué tienen éxito?

Si bien los atacantes han estado usando Sway en sus ataques durante un tiempo, la amenaza emergente más común es enviar supuestos correos de voz o incluso alertas de fax a los usuarios.

Como cualquier ataque de phishing bien orquestado, juega con su curiosidad, ya que se pregunta quién lo llamó y por qué.

Muchas campañas de phishing son fáciles de detectar por los usuarios porque están llenas de obsequios que alertan las sospechas.

Estas nuevas campañas son diferentes, maximizan la autenticidad y minimizan cualquier cosa que pueda revelar su verdadera naturaleza.

Dado que estos ataques son algo así como un fenómeno de día cero, existen pocas protecciones.

Dada la prevalencia de estas amenazas, es probable que los ciberdelincuentes también utilicen otras plataformas, como G-Suite de Google, para realizar ataques en el futuro.

Ejemplo de un correo electrónico sospechoso con respecto a un fax recibido:

msswayofficepishing01

Respuesta de Microsoft a las preocupaciones de phishing

En respuesta a la serie de ataques de phishing, Microsoft comentó sobre su filtrado a TechRepublic:

“Contrariamente a las afirmaciones de marketing, Microsoft no confía automáticamente en ningún dominio, incluidos los dominios de Office y Sway. Todos los enlaces se analizan, evalúan y comparan con vectores de ataque conocidos, incluidos los dominios locales. Además, Microsoft realiza una evaluación completa del contenido de Sway, incluida la exploración de vínculos en las páginas”.

Vale la pena señalar que, a pesar de la respuesta de Microsoft, varios de estos tipos de ataques han pasado por alto el filtrado de correo electrónico de Microsoft y han tenido éxito al usar específicamente los dominios de Office y Sway porque no están bloqueados.

Cómo mantenerse protegido

Los usuarios que son objeto de estos ataques casi siempre reciben el mismo mensaje en un correo de voz o fax.

Poner en una lista negra a los remitentes es un juego de golpear a un topo, ya que los ciberdelincuentes usan muchos múltiplos de remitentes y direcciones.

En cambio, muchos están poniendo en la lista negra sway.office.com en sus filtros hasta que Microsoft solucione completamente el problema de phishing.

Hasta que llegue ese momento, el mejor consejo es hacer lo mismo y educar a los empleados para que se protejan lo mejor posible.

Los ataques de ciberseguridad conducen a violaciones de datos, que son extremadamente costosas para las organizaciones y, en muchos casos, les cuestan su negocio.

En Impact, nuestro programa de ciberseguridad cuidadosamente examinado ofrece las mejores soluciones tecnológicas y educación para los empleados para brindarle la mejor seguridad que una empresa puede tener. Para más información, echa un vistazo a nuestro servicio de Ciberseguridad Gestionada y conoce cómo podemos mantener tu negocio a salvo de ciberataques. ¡Haga clic aquí!