jueves, 28 de mayo de 2020

¿Cómo funciona el ataque de phishing para robar credenciales de Amazon Web Services?

Miles de organizaciones públicas y compañías privadas siguen recurriendo al trabajo remoto para cumplir con las medidas de aislamiento por el combate al coronavirus, por lo que la demanda de servicios en la nube sigue incrementando. Los especialistas en seguridad perimetral aseguran que, a pesar de que el distanciamiento social es necesario, esta conducta también ha favorecido a los cibercriminales, que ahora cuentan con mayores recursos para desplegar campañas maliciosas. 

Un reporte de la firma de ciberseguridad Abnormal Security describe un ataque de phishing recientemente detectado en el que los actores de amenazas se hacen pasar por miembros del personal de Amazon con el objetivo de extraer credenciales de acceso a Amazon Web Services (AWS).

Este ataque comienza con un email, supuestamente enviado por el equipo de soporte de AWS, con un formato realmente idéntico al de las notificaciones legítimas de la compañía. No obstante, al analizar con detenimiento el contenido del mensaje puede verse que el enlace que se encuentra en el texto es diferente a la dirección de Amazon, aunque es probable que muchos usuarios no noten esto, mencionan los especialistas en seguridad perimetral.   

El enlace contenido en el mensaje redirige a los usuarios a un sitio web idéntico al inicio de sesión de AWS (los actores de amenazas incluso se tomaron el tiempo de incrustar imágenes extraídas del sitio oficial de la compañía). Al igual que en cualquier otra campaña de phishing, este falso inicio de sesión sólo servirá para recolectar las credenciales de usuarios desprevenidos.

Los especialistas en seguridad perimetral de Abnormal Security aseguran haber detectado múltiples versiones de este ataque, empleando diferentes direcciones de envío y una gran variedad de cargas útiles, aunque todos los ataques tenían como meta el robo de credenciales de inicio de sesión de AWS. Cabe señalar que todos los emails relacionados con esta campaña provienen de la misma dirección IP, alojada en una VPN francesa.  

Balaji Parimi, especialista en ciberseguridad, señala que esta información podría ser empleada por los actores de amenazas para acceder de forma fácil a los recursos más valiosos de las compañías, como propiedad intelectual, información de recursos humanos, detalles financieros, planes de crecimiento o expansión, entre otros: “Las compañías emplean el almacenamiento en la nube para la protección de recursos valiosos. La pérdida de credenciales de acceso representaría un severo problema”.  

Las medidas de distanciamiento social siguen vigentes en cientos de ciudades, y seguirán vigentes durante los siguientes meses, por lo que el Instituto Internacional de Seguridad Cibernética (IICS) prevé que las campañas de phishing apuntando contra empleados a distancia seguirán siendo un problema serio a mediano plazo.  

El cargo ¿Cómo funciona el ataque de phishing para robar credenciales de Amazon Web Services? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario