Con el levantamiento de las restricciones de COVID-19 y los empleados que comienzan a regresar a las oficinas, los piratas informáticos se ven obligados a cambiar de táctica. Si bien los trabajadores remotos han sido el principal objetivo de los estafadores durante los últimos 18 meses debido al cambio masivo hacia el trabajo desde casa requerido por la pandemia, una nueva campaña de phishing intenta explotar a aquellos que han comenzado a regresar en el lugar de trabajo físico.

La campaña de correo electrónico, observada por Cofense, se dirige a los empleados con correos electrónicos que supuestamente provienen de sus CIO para darles la bienvenida a las oficinas.

El correo electrónico parece bastante legítimo, con el logotipo oficial de la empresa en el encabezado, así como la firma de suplantación de identidad del CIO. La mayor parte de la publicación describe las nuevas precauciones y cambios en las operaciones comerciales que está tomando la empresa en relación con la pandemia.

LEER  UTEC, una de las firmas de inversión en tecnología profunda más grandes de Asia, lanza un nuevo fondo de $ 275 millones - TechCrunch

Si un empleado fuera engañado por el correo electrónico, sería redirigido a lo que parece ser una página de Microsoft SharePoint que aloja dos documentos de marca de la empresa. “Cuando interactúas con estos documentos, se hace evidente que no son auténticos y más bien son mecanismos de phishing para recopilar credenciales de cuentas”, dijo Dylan Main, analista de amenazas en Cofense Phishing Defense Center.

Sin embargo, si una víctima decide interactuar con cualquiera de los documentos, aparece un panel de inicio de sesión y le pide al destinatario que proporcione información de inicio de sesión para acceder a los archivos.

“Es raro entre la mayoría de las páginas de phishing de Microsoft donde la táctica de suplantación de la pantalla de inicio de sesión de Microsoft abre un panel de autenticación”, continuó Main. “Al hacer que los archivos parezcan reales y no redirigirlos a otra página de inicio de sesión, es más probable que el usuario proporcione sus credenciales para ver las actualizaciones”.

LEER  El informe de ganancias del primer trimestre de Jumia continúa mostrando pérdidas decrecientes y un crecimiento lento - TechCrunch

Otra técnica que utilizan los piratas informáticos es el uso de credenciales validadas falsas. Las primeras veces que se ingresa la información de inicio de sesión en el panel, el resultado será el mensaje de error que indica: “Su cuenta o contraseña es incorrecta”.

“Después de ingresar la información de inicio de sesión varias veces, el empleado será redirigido a una página real de Microsoft”, dice Main. “Da la impresión de que los datos de inicio de sesión eran correctos y que el empleado ahora tiene acceso a los documentos de OneDrive. De hecho, el actor de amenazas ahora tiene acceso completo a la información del propietario de la cuenta. “

Si bien esta es una de las primeras campañas observadas dirigidas a los empleados que regresan (los investigadores de Check Point descubrieron otra el año pasado), es poco probable que sea la última. Google y Microsoft, por ejemplo, han comenzado a dar la bienvenida al personal a los cubículos de la oficina, y alrededor del 75% de los ejecutivos esperan que al menos el 50% de los empleados regresen a trabajar en la oficina en julio, según un estudio reciente de PwC.

LEER  Snap adquiere la startup de tecnología AR WaveOptics por más de $ 500 millones - TechCrunch

Los actores de amenazas generalmente se adaptan para explotar el entorno global. Así como el cambio al trabajo masivo en conexiones remotas ha llevado a un aumento en la cantidad de ataques que intentan explotar las credenciales de conexión remota, es probable que la cantidad de ataques dirigidos a redes locales y trabajadores de oficina continúe creciendo durante los próximos años. unos meses. .