Buscar
 Newsletter
Revista IT Digital Magazine
IT Digital Magazine Última edición Descárgatela

Atención: spoofing/phishing usando invitaciones ICS

  • Opinión
Daniel Perez Lima - Genomcore - 720

En esta tribuna de opinión, Daniel Pérez Lima, CIO & CISO de Genomcore, nos habla sobre la peligrosidad de los nuevos ataques de spoofing/phishing basados en archivos de correo electrónico ICS, y de los diferentes métodos y herramientas que se pueden utilizar para mitigar este riesgo en las organizaciones.

Por Daniel Pérez Lima, CIO & CISO de Genomcore

 

Los archivos ICS son un formato estándar de archivo de calendario basado en el estándar iCalendar, que se utiliza para compartir eventos, citas y agendas entre distintas aplicaciones de calendario. Los habrás visto muchas veces. Recibes un correo para una reunión o evento, y ahí tienes un ICS que debes abrir. Y al abrirlo, te sale la invitación para agregarla al calendario. Aceptas, y listo. Lo que vamos a tratar es un nuevo método de spoofing/phishing basado en este funcionamiento.

 

Método de ataque

La idea de los atacantes es aprovechar este flujo de trabajo normal y legítimo para saltar las defensas de los filtros de correos. Como sabemos, los filtros de correo miran muchos puntos para aceptar o no un mensaje. Reputación del dominio, autenticación del email, contenido de este, búsqueda de archivos o enlaces maliciosos… Entonces, ¿cómo hacen para saltarse las protecciones? Presta atención al flujo que utilizan:

  1. El atacante registra un dominio real, legítimo. Y abre una cuenta de correo en este nuevo hosting.
    - Otra variante, más agresiva y peligrosa, es que el atacante compromete una cuenta corporativa.
  2. En ambos supuestos, el atacante tiene acceso a una cuenta de correo corporativa, legítima y que pasa los principales bloqueos de los filtros de correo (reputación, autenticación…).
  3. A partir de aquí, envía una invitación de calendario, con un fichero ICS adjunto.
  4. El email es correcto. Emisor legítimo, no hay spoofing, no hay phishing, ningún enlace malicioso. Sólo un adjunto ICS que es una invitación de calendario.
  5. Al abrir el adjunto ICS, aparece el contenido malicioso. Un phishing como una catedral con un código QR.
  6. Y no sólo eso, sino que pueden poner como organizador el correo corporativo que están atacando (en nuestro caso, empresa.com) como organizador del evento.
  7. Dado que el contenido malicioso y el spoofing suceden dentro del ICS, que no es un archivo adjunto habitual, y siempre se usa con fines legítimos para una reunión, puede pasar los filtros de protección sin problemas.

 

¿Cómo puedes mitigar este riesgo?

La respuesta fácil es configurar tu filtro de correo para que elimine los adjuntos ICS. Pero claro, esto impactará negocio, dado que todas las reuniones externas legítimas que utilicen estos archivos no podrán enviarlos más. Otra opción es configurar tu sistema de correo para rechazar meetings externos. De nuevo, esto puede generar un impacto importante en negocio. Así que quedan estas opciones:

  • Formación y concienciación: Estamos ante un caso que puede depender del usuario detectarlo. Así que un buen plan de formación y concienciación ayudará a que detecten estos casos y los reporten para su análisis y bloqueo reactivo.
  • Sistema de reporte de emails funcional: Construye confianza asegurando que cada email que reporta un usuario es analizado y revisado. Esto ayudará a que reporten más y más.
  • Mejorar el filtro de correo: Al fin y al cabo, es un adjunto con un contenido malicioso. Debes intentar ajustar el filtro de correo para que sea capaz de detenerlos. Contacta con tu proveedor y soporte, y escala esta incidencia hasta que te confirmen que detendrán los nuevos casos.
  • Sistemas de filtrado web: En el caso que el usuario haga click en el enlace, si tienes un filtrado web activo es posible que evite que el usuario acceda a esta web maliciosa.
  • Autenticación Multifactor: Por supuesto, MFA es obligatorio, y puede ser un punto de defense clave si el usuario sigue adelante con el enlace malicioso.
  • Politicas de Acceso Condicional enlazadas con equipos corporativos: En el supuesto que el usuario siga todo el camino del phishing, si tienes políticas de acceso condicional que fuercen a que los logins sean de equipos corporativos, actuará como defensa final. Esto te protegerá incluso ante el robo de token de sesión, que como estamos viendo está siendo un punto sangrante para las corporaciones (hablaremos de ello en próximos artículos).

 

Conclusión

Este caso nos muestra cómo los atacantes siempre idearán formas nuevas de intentar saltar nuestras defensas. Y cómo un buen plan de formación, así como de análisis y reporte de correos sospechosos, puede ser fundamental para parar este tipo de ataques.

Por otra parte, como siempre, mejora continua: revisa tus defensas y controles, y busca asesoramiento en los equipos especializados de soporte para que este tipo de amenazas no pasen tus defensas. No lo dejes como algo aislado. Si un email de estos ha pasado tus defensas, otro lo hará. Y quizá en ese caso, el usuario no lo reporte.

 

TAGS

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO