Las infracciones de Twilio y Cisco resaltan los peligros de los ataques de ingeniería social
¿No pudiste asistir a Transform 2022? ¡Vea todas las sesiones de la cumbre en nuestra biblioteca a pedido ahora! Mira aquí.
Ninguna vulnerabilidad es tan difícil de manejar como el error humano. Un pequeño error como hacer clic en un archivo adjunto malicioso o en un enlace a un sitio web de phishing puede desencadenar una infracción que pone en riesgo la reputación de una organización. Esto es algo que los estafadores de ingeniería social conocen muy bien.
En ninguna parte se ejemplificó esto mejor que en la reciente brecha de seguridad de Twilio. El jueves 4 de agosto, el proveedor de comunicaciones API Twilio sufrió una filtración de datos después de que los empleados sucumbieran a un "sofisticado ataque de ingeniería social diseñado para robar las credenciales de los empleados".
Durante el ataque, los piratas informáticos crearon una estafa de phishing por SMS (o intento de smishing), que se hizo pasar por el departamento de TI de Twilio y advirtió a los empleados que sus contraseñas habían caducado o debían modificarse.
Los empleados que hicieron clic en el enlace fueron redirigidos a una versión falsificada de la página de inicio de sesión de Twilio donde el pirata informático recopiló sus credenciales de inicio de sesión, que luego usaron para acceder a los sistemas internos de la empresa y ver los datos de 125 clientes.
El ataque destaca la eficacia de los ataques de ingeniería social, en los que los piratas informáticos intentan engañar a los empleados para que revelen información personal por correo electrónico, mensaje de texto o teléfono haciéndose pasar por una persona u organización de confianza.
Uno de los últimos ejemplos ocurrió ayer cuando Cisco Talos reveló públicamente una violación de datos que ocurrió el 24 de mayo de 2022, que según la banda de ransomware Yanluowang resultó en la filtración de 2,8 GB de datos.
En este ataque, Yanluowang tomó el control de la cuenta personal de Google de un empleado, que sincronizó las credenciales de inicio de sesión en el navegador del usuario.
También llevaron a cabo una serie de ataques de phishing de voz haciéndose pasar por varias organizaciones confiables para engañar a los empleados para que aceptaran notificaciones automáticas de autenticación multifactor (MFA) que les permitían acceder a una VPN y a sistemas internos críticos.
Las filtraciones de datos de Twilo y Cisco muestran que las empresas no pueden darse el lujo de depender de sus empleados para identificar estafas de ingeniería social cada vez más complejas.
"Este ataque demuestra que la ingeniería social sigue siendo una de las formas más efectivas de obtener acceso a una organización y que cualquier organización puede ser atacada", dijo Allie Mellen, analista sénior de seguridad y riesgo de Forrester.
"Al final del día, los humanos siempre serán el objetivo de un ataque. Si recibe un correo electrónico o un mensaje de texto de lo que cree que es una fuente confiable con un mensaje urgente, es fácil hacer clic en el enlace sin detenerse [para verificar] si es una estafa”, dijo Mellen.
Revisar los supuestos de seguridad de las contraseñasUna de las razones principales por las que los atacantes recurren a los ataques de ingeniería social, como las estafas de phishing, es que estas herramientas son fáciles de usar y eficaces para recopilar credenciales de inicio de sesión.
La investigación muestra que las credenciales robadas o comprometidas son responsables del 19 % de las infracciones, mientras que el phishing es responsable del 16 % de las infracciones, lo que destaca que la seguridad basada en contraseñas es en gran medida ineficaz para mantener a raya a los malintencionados.
Del mismo modo, no existe un antivirus o una bala mágica que pueda evitar que los empleados cometan un error y sean manipulados para transmitir información valiosa.
Si bien las soluciones como la capacitación en concientización sobre seguridad pueden enseñar a los empleados a detectar los signos de estafas de phishing e ingeniería social, los empleados necesitan cada vez más repensar los controles de acceso a los datos.
Con la organización promedio...
¿No pudiste asistir a Transform 2022? ¡Vea todas las sesiones de la cumbre en nuestra biblioteca a pedido ahora! Mira aquí.
Ninguna vulnerabilidad es tan difícil de manejar como el error humano. Un pequeño error como hacer clic en un archivo adjunto malicioso o en un enlace a un sitio web de phishing puede desencadenar una infracción que pone en riesgo la reputación de una organización. Esto es algo que los estafadores de ingeniería social conocen muy bien.
En ninguna parte se ejemplificó esto mejor que en la reciente brecha de seguridad de Twilio. El jueves 4 de agosto, el proveedor de comunicaciones API Twilio sufrió una filtración de datos después de que los empleados sucumbieran a un "sofisticado ataque de ingeniería social diseñado para robar las credenciales de los empleados".
Durante el ataque, los piratas informáticos crearon una estafa de phishing por SMS (o intento de smishing), que se hizo pasar por el departamento de TI de Twilio y advirtió a los empleados que sus contraseñas habían caducado o debían modificarse.
Los empleados que hicieron clic en el enlace fueron redirigidos a una versión falsificada de la página de inicio de sesión de Twilio donde el pirata informático recopiló sus credenciales de inicio de sesión, que luego usaron para acceder a los sistemas internos de la empresa y ver los datos de 125 clientes.
El ataque destaca la eficacia de los ataques de ingeniería social, en los que los piratas informáticos intentan engañar a los empleados para que revelen información personal por correo electrónico, mensaje de texto o teléfono haciéndose pasar por una persona u organización de confianza.
Uno de los últimos ejemplos ocurrió ayer cuando Cisco Talos reveló públicamente una violación de datos que ocurrió el 24 de mayo de 2022, que según la banda de ransomware Yanluowang resultó en la filtración de 2,8 GB de datos.
En este ataque, Yanluowang tomó el control de la cuenta personal de Google de un empleado, que sincronizó las credenciales de inicio de sesión en el navegador del usuario.
También llevaron a cabo una serie de ataques de phishing de voz haciéndose pasar por varias organizaciones confiables para engañar a los empleados para que aceptaran notificaciones automáticas de autenticación multifactor (MFA) que les permitían acceder a una VPN y a sistemas internos críticos.
Las filtraciones de datos de Twilo y Cisco muestran que las empresas no pueden darse el lujo de depender de sus empleados para identificar estafas de ingeniería social cada vez más complejas.
"Este ataque demuestra que la ingeniería social sigue siendo una de las formas más efectivas de obtener acceso a una organización y que cualquier organización puede ser atacada", dijo Allie Mellen, analista sénior de seguridad y riesgo de Forrester.
"Al final del día, los humanos siempre serán el objetivo de un ataque. Si recibe un correo electrónico o un mensaje de texto de lo que cree que es una fuente confiable con un mensaje urgente, es fácil hacer clic en el enlace sin detenerse [para verificar] si es una estafa”, dijo Mellen.
Revisar los supuestos de seguridad de las contraseñasUna de las razones principales por las que los atacantes recurren a los ataques de ingeniería social, como las estafas de phishing, es que estas herramientas son fáciles de usar y eficaces para recopilar credenciales de inicio de sesión.
La investigación muestra que las credenciales robadas o comprometidas son responsables del 19 % de las infracciones, mientras que el phishing es responsable del 16 % de las infracciones, lo que destaca que la seguridad basada en contraseñas es en gran medida ineficaz para mantener a raya a los malintencionados.
Del mismo modo, no existe un antivirus o una bala mágica que pueda evitar que los empleados cometan un error y sean manipulados para transmitir información valiosa.
Si bien las soluciones como la capacitación en concientización sobre seguridad pueden enseñar a los empleados a detectar los signos de estafas de phishing e ingeniería social, los empleados necesitan cada vez más repensar los controles de acceso a los datos.
Con la organización promedio...
What's Your Reaction?
