Los ataques de phishing ya no se limitan a las bandejas de entrada del correo electrónico: uno de cada tres ataques de phishing se produce a través de canales distintos del correo electrónico, como las redes sociales, los motores de búsqueda y las aplicaciones de mensajería.
LinkedIn en particular es un foco de ataques de phishing, y con razón. Los atacantes están llevando a cabo sofisticados ataques de phishing contra ejecutivos corporativos, con campañas recientes dirigidas a empresas de las industrias de servicios financieros y tecnología.
Sin embargo, el phishing que no se realiza mediante correo electrónico sigue estando muy poco denunciado. Esto no es realmente sorprendente, considerando que la mayoría de las métricas de phishing de la industria provienen de herramientas de seguridad del correo electrónico.
Su primer pensamiento puede ser: «¿Por qué debería preocuparme que mis empleados sean objeto de phishing en LinkedIn?» Aunque LinkedIn es una aplicación personal, se utiliza habitualmente con fines laborales y se accede a ella desde dispositivos corporativos, y los atacantes se dirigen específicamente a cuentas comerciales como Microsoft Entra y Google Workspace.
Por lo tanto, el phishing en LinkedIn es una amenaza clave para la que las empresas deben estar preparadas hoy en día. Aquí hay cinco cosas que necesita saber sobre por qué los atacantes hacen phishing en LinkedIn y por qué es tan efectivo.
1: Evite las herramientas de seguridad tradicionales
LinkedIn DM evita por completo las herramientas de seguridad del correo electrónico en las que confían la mayoría de las organizaciones para combatir el phishing. En realidad, los empleados acceden a LinkedIn desde sus portátiles y teléfonos de trabajo, pero los equipos de seguridad no tienen visibilidad de estas comunicaciones. Esto significa que los empleados pueden recibir mensajes de personas externas en sus dispositivos de trabajo sin riesgo de que sus correos electrónicos sean interceptados.
Para empeorar las cosas, los kits de phishing modernos utilizan una variedad de técnicas de ofuscación, antianálisis y evasión para eludir los controles antiphishing basados en la inspección de páginas web (por ejemplo, robots de seguridad de rastreo web) o el análisis del tráfico web (por ejemplo, servidores proxy web). Esto deja a la mayoría de las organizaciones dependiendo de la capacitación y la presentación de informes de los usuarios como su principal línea de defensa, lo que no es una situación muy buena.
Pero incluso si un usuario lo descubre y lo denuncia, ¿qué se puede hacer realmente contra el phishing en LinkedIn? No puede ver qué otras cuentas de su base de usuarios han sido atacadas o atacadas. A diferencia del correo electrónico, no hay forma de recuperar o poner en cuarentena el mismo mensaje enviado a varios usuarios. No hay reglas que puedas cambiar ni remitentes que puedas bloquear. Si se puede denunciar la cuenta, es posible que se suspenda la cuenta maliciosa, pero es probable que el atacante ya tenga lo que necesita para seguir adelante.
La mayoría de las organizaciones simplemente bloquean las URL involucradas. Sin embargo, esto es de poca utilidad si el atacante está rotando rápidamente dominios de phishing. Cuando bloqueas un sitio, varios más ya han ocupado su lugar. Es un juego de golpear al topo y está en tu contra.
2: Barato, fácil y escalable para los atacantes
Hay varias razones por las que el phishing a través de LinkedIn es más accesible que los ataques de phishing basados en correo electrónico.
En el caso del correo electrónico, es común que un atacante cree un dominio de correo electrónico con anticipación y pase por un período de preparación para establecer la reputación del dominio y pasarla por los filtros de correo electrónico. En comparación con las aplicaciones de redes sociales como LinkedIn, creas una cuenta, estableces conexiones, agregas publicaciones y contenido, y te vistes para parecer legítimo.
Sin embargo, es increíblemente fácil hacerse cargo de una cuenta legítima. El 60% de las credenciales en los registros de Infostealer están vinculadas a cuentas de redes sociales, muchas de las cuales no tienen MFA (ya que la adopción de MFA es mucho menor en aplicaciones nominalmente «personales» donde sus empleadores no alientan a los usuarios a agregar MFA). Esto les brinda a los atacantes un punto de partida confiable para sus campañas, lo que les permite comprometer la red existente de una cuenta y explotar esa confianza.
Al combinar el secuestro legítimo de cuentas con las oportunidades que presentan los mensajes directos impulsados por inteligencia artificial, los atacantes pueden ampliar fácilmente su alcance en LinkedIn.
3: Acceda fácilmente a objetivos de alto valor
Como sabe cualquier profesional de ventas, la exploración en LinkedIn es sencilla. Planificar el perfil de LinkedIn de su organización y elegir los objetivos adecuados a los que llegar es fácil. De hecho, LinkedIn se ha convertido en una herramienta importante tanto para los miembros del equipo rojo como para los atacantes a la hora de examinar posibles objetivos de ingeniería social. Por ejemplo, observe las funciones y descripciones de los puestos de trabajo para estimar qué cuentas tienen el nivel de acceso y los privilegios necesarios para llevar a cabo un ataque con éxito.
Tampoco hay un asistente para examinar o filtrar sus mensajes de LinkedIn, protegerlos contra el spam o monitorear su bandeja de entrada. Este es probablemente uno de los mejores lugares para lanzar un ataque de phishing selectivo, ya que es probablemente la forma más directa de llegar al contacto deseado.
4: Es más probable que los usuarios se dejen engañar
Debido a la naturaleza de las aplicaciones de redes profesionales como LinkedIn, se espera que usted se conecte e interactúe con personas ajenas a su organización. De hecho, es mucho más probable que un ejecutivo capacitado abra y responda un DM de LinkedIn que otro correo electrónico no deseado.
Especialmente cuando se combinan con el secuestro de cuentas, es aún más probable que los mensajes de contactos conocidos obtengan una respuesta. Esto es lo mismo que hacerse cargo de la cuenta de correo electrónico de un contacto comercial existente, lo que ha sido la causa de muchas violaciones de datos en el pasado.
De hecho, en algunos casos recientes, esos contactos eran compañeros de trabajo, por lo que es como si un atacante tomara el control de una de las cuentas de correo electrónico de la empresa y la utilizara para atacar a los ejecutivos. Combinado con el pretexto adecuado (solicitar aprobación urgente, verificar documentos, etc.), las posibilidades de éxito aumentan significativamente.
5: Las recompensas potenciales son enormes.
El hecho de que estos ataques ocurran en aplicaciones «personales» no limita su impacto. Es importante pensar en el panorama general.
La mayoría de los ataques de phishing se centran en plataformas centrales de nube empresarial como Microsoft y Google, o en proveedores de identidad especializados como Okta. Comprometer una de estas cuentas no solo les daría acceso a las aplicaciones y datos principales dentro de cada aplicación, sino que también permitiría al atacante usar SSO para iniciar sesión en aplicaciones conectadas en las que los empleados están conectados.
Esto brinda a los atacantes acceso a casi todas las funciones comerciales y conjuntos de datos principales dentro de una organización. Y a partir de este momento, también resulta mucho más fácil apuntar a aplicaciones de mensajería empresarial como Slack y Teams, así como a otros usuarios de estas aplicaciones internas utilizando técnicas como SAMLjacking, que convierte la aplicación en un abrevadero para otros usuarios que intentan iniciar sesión.
Cuando se combina con el phishing de los empleados ejecutivos, la recompensa puede ser significativa. El compromiso de una sola cuenta puede convertirse en una vulneración multimillonaria en toda la empresa.
E incluso si un atacante sólo tiene acceso al dispositivo personal de un empleado, puede ser blanqueado y comprometer las cuentas corporativas. Mire la infracción de Okta de 2023. En esta infracción, los atacantes aprovecharon el hecho de que los empleados de Okta iniciaron sesión en sus perfiles personales de Google en sus dispositivos de trabajo. Esto significa que todas las credenciales almacenadas en su navegador se sincronizarán con su dispositivo personal, incluidas las credenciales de 134 inquilinos clientes. Cuando su dispositivo personal fue pirateado, su cuenta de trabajo también fue pirateada.
Esto no es sólo un problema de LinkedIn
Dado que el trabajo moderno se lleva a cabo en una red de aplicaciones de Internet descentralizadas y canales de comunicación más allá del correo electrónico cada vez más diversos, impedir que los usuarios interactúen con contenido malicioso es más difícil que nunca.
Los atacantes pueden distribuir enlaces a través de aplicaciones de mensajería instantánea, redes sociales, SMS, anuncios maliciosos, utilizar la funcionalidad de mensajería en la aplicación o enviar correos electrónicos directamente desde servicios SaaS para evitar las comprobaciones basadas en correo electrónico. De manera similar, las empresas ahora tienen cientos de aplicaciones dirigidas a distintos niveles de configuración de seguridad de la cuenta.
¿Quiere saber más sobre cómo evolucionará el phishing en 2025? Regístrese para un próximo seminario web de Push Security. Descubra estadísticas, tendencias y estudios de casos clave sobre phishing para 2025.
El phishing ahora se entrega a través de múltiples canales, no solo por correo electrónico, y se dirige a una amplia gama de aplicaciones SaaS y en la nube.
Detenga el phishing donde ocurre: en su navegador.
El phishing se ha expandido más allá del buzón de correo. La seguridad es igualmente importante.
Para combatir los ataques de phishing modernos, las organizaciones necesitan soluciones que detecten y bloqueen el phishing en todas las aplicaciones y vectores de entrega.
Push Security comprueba lo que ven los usuarios. Independientemente del canal de entrega o método de evasión que se utilice, Push detiene los ataques en tiempo real una vez que un usuario carga una página maliciosa en un navegador web analizando el código de la página, el comportamiento y las interacciones del usuario en tiempo real.
Esto no es lo único que hacemos. Push bloquea ataques basados en navegador, como phishing AiTM, relleno de credenciales, extensiones de navegador maliciosas, concesiones OAuth maliciosas, ClickFix y secuestro de sesiones. También puede utilizar Push para buscar y corregir de forma proactiva vulnerabilidades en las aplicaciones que utilizan sus empleados, incluidos inicios de sesión fantasmas, brechas de cobertura de SSO, brechas de MFA y contraseñas débiles. También puede ver dónde inician sesión los empleados en sus cuentas personales en su navegador de trabajo (para evitar situaciones como la infracción de Okta de 2023 mencionada anteriormente).
Para obtener más información sobre Push, consulte nuestra descripción general de productos más reciente o programe una demostración en vivo con nuestro equipo.
Source link
