Cómo utilizan los ciberdelincuentes los datos públicos ‘online’ y ‘offline’ para atacar a los empleados
Una publicación en LinkedIn sobre la obtención de un nuevo empleo se convirtió en una potencial estafa de ‘phishing’. No obstante, incidentes de esta categoría son más comunes de lo que se cree.
- El 54% del 'phishing' con éxito acaba en brechas de datos de los clientes
- LinkedIn encabeza la lista de marcas en intentos de suplantación de identidad
- Uber apunta a Lapsus$ como responsable de su ciberataque
- "La falta de seguridad no es un tema de presupuesto sino de resistencia al cambio de paradigma tecnológico"
- La autenticación multifactor como arma clave para hacer frente a las amenazas de ciberseguridad
A pesar de que publicamos nuestro día a día en las redes sociales, hay detalles clave de nuestra vida que no pensamos en hacer públicos. Por eso tenemos que reconsiderar lo que compartimos en línea y cómo los cibercriminales pueden utilizar esta información para atacar a las empresas. Y es que, a fin de cuentas, la seguridad de su empresa puede estar a un mensaje de texto de distancia de una brecha.
Cómo y por qué atacan a nuevos empleados
Por ejemplo, una empresa contrata a un nuevo becario y le proporciona las llaves del edificio de la oficina, los accesos a la red y una dirección de correo electrónico. Es normal que los empleados tengan también correo electrónico y teléfonos móviles personales. Dependiendo del tamaño de la empresa, si se utiliza la autenticación multifactor, también se despliegan tokens o aplicaciones de dos factores en sus teléfonos móviles o se les proporciona un teléfono de trabajo. Los primeros días en el trabajo pueden ser agitados, con mucha tecnología nueva con la que lidiar. Algo abrumador y estresante, ya que el recién contratado quiere asentarse en el trabajo y ser complaciente.
También es el momento en que los atacantes intentan aprovecharse. Buscan a trabajadores ansiosos que tratan de complacer a sus nuevos jefes. El otro día, mi empresa experimentó de primera mano cómo estos atacantes persiguen a los recién contratados mientras se adaptan al entorno corporativo. Los correos electrónicos empezaron de forma bastante inocente. Un correo electrónico de alguien que pedía al becario que le ayudara con un proyecto y una fecha límite. El correo electrónico decía que estaban en una reunión a puerta cerrada. La petición era que necesitaban una tarea completamente rápida. El correo electrónico terminaba pidiendo al becario que “tenga la amabilidad de enviar su número de móvil lo antes posible”.
¿Cómo se enteran los atacantes de los nuevos empleados?
Empiezan con las herramientas que usamos para conectarnos en los negocios para hacer el phishing más personal. Al monitorizar sitios empresariales como LinkedIn, los atacantes establecieron la conexión entre un becario de contabilidad recién contratado y un socio de mi oficina. Construyeron el correo electrónico para que pareciera que procedía del socio y le pedía al becario que le ayudara. Una vez más, les pidieron que proporcionaran un número de teléfono móvil para poder enviarles un mensaje de texto.
Hasta en tres ocasiones estos correos electrónicos llegaron a nuestro correo de la empresa y no fueron identificados como correo no deseado o identificados por nuestras herramientas de filtrado de correo como señuelos de phishing. El correo electrónico no tenía suficientes desencadenantes y pasó limpiamente a través de todas las protecciones del correo electrónico y de las medidas de detección y respuesta de puntos finales (EDR) que tenemos implantadas.
Objetivo: empleados de Uber y Twilio
Al parecer, la reciente brecha en Uber se desencadenó porque un atacante engañó a un administrador para que aprobara una falsa solicitud de autenticación multifactor (MFA). El atacante pidió al administrador por WhatsApp que proporcionara más información para ganarse su confianza y aprobar la solicitud de MFA. No está claro si el atacante utilizó las herramientas de las redes sociales para obtener más información, si se dirigió al administrador o si tuvo suerte. Por otro lado, Twilio compartió recientemente que los atacantes se dirigieron a sus empleados y fueron capaces de hacer coincidir los nombres de los empleados de las fuentes con sus números de teléfono. Los atacantes tuvieron éxito a la hora de establecer una relación de uno a uno utilizando bases de datos disponibles públicamente para dirigir los ataques.
Cómo mitigar los ataques
Rachel Tobac, de SocialProof Security, confirmó en Twitter que los atacantes están utilizando las herramientas de las empresas para atacar tanto a las grandes entidades como a las pequeñas y medianas empresas. En este sentido recomendó a las empresas que no incluyan en sus listas a los nuevos empleados ni se conecten a ellos en LinkedIn, y que utilicen servicios de eliminación de datos para retirar la información de las bases de datos mantenidas por LinkedIn y otras plataformas.
Después de haber recibido solicitudes de eliminación de datos, he descubierto que estas pueden exponer más información de la que había en la base de datos originalmente. Un sitio puede tener sólo direcciones de correo electrónico, pero la solicitud de eliminación de datos expone también el nombre completo del usuario. Por ello debe considerar la reputación de los sitios y su historial de eliminación de datos. Hay tanta información en línea y enterrada en tantos lugares que no estoy convencido de que podamos realmente borrarnos de la web.
Cuando incorpore a los nuevos empleados, hágales conocer este tipo de ataques y los riesgos para la empresa. Inste a los nuevos empleados a que no publiquen información sobre sus nuevos puestos de trabajo o funciones, o a que limiten la publicación sólo a los contactos de confianza. Los empleados deben saber exactamente cómo será la comunicación de la empresa y qué métodos se utilizarán. Haga que su equipo de seguridad de la información prepare ejercicios de simulación de ‘qué pasaría si’ para asegurarse de que el personal sabe cómo responder adecuadamente a las indicaciones de seguridad. Hágales entender que los atacantes pueden dirigirse a cualquier persona de la empresa para obtener acceso.
Datos compartidos en el mundo real
Compartir demasiada información personal no es sólo un problema de Internet. Incluso conduciendo nuestros coches exponemos una gran cantidad de información. ¿Tiene una pegatina en el parachoques de su coche que muestra que su hijo está en el cuadro de honor? Acabas de difundir dónde van tus hijos al colegio. ¿Tienes una matrícula personalizada? Es más fácil que alguien se acuerde de ti o de tu coche. ¿Tienes una pegatina en tu coche diciendo que te gusta esquiar o cualquier otro deporte caro? Puedes estar mostrando que tienes un equipo caro en tu coche, o en tu casa, además de estar fuera de tu casa a menudo los fines de semana. ¿Tiene un pase de aparcamiento u otra pegatina de identificación en su coche que atestigüe dónde trabaja? Considere hasta qué punto su coche puede identificar quién es usted y lo que hace para alguien que intente atacar su empresa.
Con demasiada frecuencia, en el ámbito de la tecnología estamos condicionados a sortear las barreras de la mejor manera posible para realizar el trabajo. Esto hace que los usuarios caigan en los ataques dirigidos. Si los atacantes saben lo suficiente sobre usted o su comportamiento, pueden dirigir el ataque en consecuencia. Tómese el tiempo necesario no sólo para desplegar barreras tecnológicas, sino para proporcionar educación y formación. Recuerde que si toda su infraestructura puede verse comprometida porque un usuario cualquiera toma una mala decisión, el problema no está necesariamente en el usuario. Es porque has configurado tus procesos para que fallen y no les has ayudado a tomar la decisión correcta.
