El FBI ha publicado recientemente una Notificación de la Industria Privada en la que señala que los ciberatacantes están asignando reglas de reenvío automático a los clientes de correo electrónico basados en web de las víctimas para ocultar sus actividades. Los atacantes se aprovechan de esta visibilidad reducida para aumentar la probabilidad de éxito de un ataque al correo electrónico de la empresa (BEC).
Es un asunto serio. El año pasado, el Internet Crime Complaint Center (IC3) informó de pérdidas de más de 1.700 millones de dólares en todo el mundo debidas a actores de BEC.
Esto trae a colación la ciberamenaza que ha estado asolando las cuentas de Microsoft Office 365, que incluye el cliente de correo Outlook y el servidor de correo Exchange. Con más de 200 millones de suscriptores mensuales, Office 365 es un objetivo muy apetecible para los ciberdelincuentes. Y cada mes, el 30% de las organizaciones que lo utilizan caen víctimas de los atacantes.
Aunque Office 365 ofrece a la nueva plantilla distribuida un dominio principal en el que realizar sus actividades, también crea un repositorio central de datos e información fácil de explotar por los atacantes.
En lugar de malware, los atacantes utilizan las herramientas y capacidades que están disponibles por defecto en Office 365, viviendo del cuento y permaneciendo ocultos durante meses. El reenvío de correos electrónicos es solo una de las muchas técnicas de las que hay que preocuparse. Después de que los atacantes ganan un punto de apoyo en un entorno de Office 365, varias cosas pueden suceder, incluyendo:
- Buscar en correos electrónicos, historiales de chat y archivos en busca de contraseñas u otros datos útiles.
- Establecer reglas de reenvío para acceder a un flujo constante de correos electrónicos sin necesidad de volver a iniciar sesión.
- Secuestro de un canal de comunicación de confianza, como el envío de un correo electrónico ilegítimo desde la cuenta oficial del director general para manipular socialmente a empleados, clientes y socios.
- Colocar malware o enlaces maliciosos en documentos de confianza para manipular a los usuarios y hacer que eludan los controles de prevención que activan las alertas.
- Robar o cifrar archivos y datos para pedir un rescate
Vectra La investigación sobre las 10 técnicas de ataque más comunes utilizadas contra Office 365 descubrió que el reenvío sospechoso de correo es el octavo comportamiento malicioso más común.
Es fundamental vigilar el uso indebido de privilegios de cuenta para Office 365, dada su prevalencia en los ataques del mundo real. Las medidas de seguridad como la autenticación multifactor (MFA ) ya no detienen a los atacantes en este nuevo panorama de ciberseguridad.
Office 365 y otras plataformas SaaS son un refugio seguro para el movimiento lateral de los atacantes, por lo que es primordial detectar y responder al abuso de privilegios de cuenta cuando los usuarios acceden a aplicaciones y servicios en entornos cloud .
Esto es precisamente lo que hace Detect para Office 365. Permite a los equipos de seguridad identificar y mitigar de forma rápida y sencilla a los atacantes ocultos en plataformas SaaS como Office 365 para que dejen de ser un refugio seguro para los ciberdelincuentes.