Por el amor de Dios, gime Mimecast, enseñar a su fuerza de trabajo a no abrir correos electrónicos obviamente dudosos

La ofuscación de JavaScript encuentra su camino en el phishey financiero

Mimecast ha descubierto una campaña de phishing basada en JavaScript dirigida principalmente a los trabajadores financieros y contables británicos.

El ataque, detalles de los cuales la empresa de seguridad publicó en su blog,“fue único en que utiliza archivos adjuntos SHTML, que se utilizan normalmente en servidores web”.

Cuando la marca abrió un correo electrónico de phishing, el JavaScript incrustado los pegaba inmediatamente a un sitio malicioso donde se les invitaba a introducir credenciales de inicio de sesión confidenciales.

Tomasz Kojm, gerente sénior de ingeniería de Mimecast, dijo: “Este apego aparentemente inocente que redirige a los usuarios desprevenidos a un sitio malicioso podría no ser una técnica particularmente sofisticada, pero presenta a las empresas una gran lección. Simple todavía funciona. Eso es un gran desafío para las organizaciones que saquen lo mejor para mantener sus sistemas seguros”.

Ejemplo de correo electrónico de phishing proporcionado por Mimecast

Correo electrónico de ataque dirigido capturado por Mimecast (haga clic para ampliar)

Las empresas financieras y de contabilidad británicas han sido las más afectadas del ataque, recibiendo el 55 por ciento de los correos electrónicos detectados hasta ahora, y el mismo sector está siendo atacado en Sudáfrica con el 11 por ciento de los intentos de phishing. Alrededor de un tercio de los correos electrónicos fueron enviados a objetivos australianos, por lo general en el sector de la educación superior.

Mimecast, que entre otras cosas hace software de seguridad de correo electrónico, dijo que había bloqueado el ataque de llegar a 100.000 suscriptores, y, entre los habituales lanzamientos de ventas finamente disfrazados, ofreció algunos consejos bastante buenos:

“Entrena a cada empleado para que puedan detectar un correo electrónico malicioso en el momento en que llega a su bandeja de entrada. Esto no puede ser un cuestionario anual de casillas, tiene que ser regular y atractivo. El phishing no va a desaparecer pronto, por lo que debe asegurarse de que sus empleados puedan actuar como una línea de defensa final contra estas amenazas… En caso de duda, siga la regla básica para ignorar, eliminar e informar.”

A medida que las empresas de inteligencia de amenazas, seguridad y antivirus van por la ruta de la construcción de “soluciones de punto final” cada vez más sofisticadas (y costosas), cortafuegos y similares, es importante recordar que los vectores de ataque más simples son los que disfrutan cada vez más éxito.

La rama pública de la agencia de espionaje británica GCHQ, el Centro Nacional de Ciberseguridad, advertido en su informe anual que había detenido 140.000 ataques de phishing y detenido 190.000 sitios web fraudulentos, aunque de los 10 principales objetivos de phishing, un número significativo fueron identificados como agencias gubernamentales o cuasi-gubernamentales (incluyendo HMRC, la BBC y la Student Loan Company), que estaban en riesgo de daño reputacional.

UK.gov considera que su servicio de protección de la reputación de marca valientes defensores cibernéticos están teniendo un impacto. El Departamento de Tecnología Digital, Cultura, Medios de Comunicación y Deporte consideró que hubo una disminución del 10% en las empresas del Reino Unido que reportaron ciberataques e infracciones durante el año pasado. ®

Patrocinado: Equilibrio de la consumismo y el control corporativo

Share this post

Share on facebook
Share on linkedin
Share on print
Share on email

Subscribe to our Monthly Cyber Security Digest

Get monthly content to keep you up to date on the latest news and tips