Este artículo documenta una cadena de ciberataques dirigidos por phishing contra grandes organizaciones por parte de un grupo llamado Lapsus$. Sin embargo, está lejos de ser una lista extensa. La técnica utilizada para cada uno de estos ataques, sin excepción, es la misma técnica antigua y poco sofisticada de ingeniería social que se descubrió por primera vez en la red AOL en 1996, donde fui una de las primeras personas que se hicieron pasar por piratas informáticos en Internet. Los piratas informáticos se hicieron pasar por personas de alto nivel como yo y administradores de la comunidad en AOL, dentro del correo electrónico, las salas de chat y la mensajería instantánea. Su objetivo era engañar a los miembros de AOL para que cedieran el control de su cuenta, para poder cambiarla por dinero o software.
Los proveedores de seguridad dicen que el phishing es nuevo y sofisticado, eso es una tontería y debe detenerse. Casi todos los periodistas y escritores de seguridad también se refieren a los ataques dirigidos por phishing como “nuevos y sofisticados”, porque no conocen nada mejor, eso es lo que Los proveedores de seguridad les dicen esto. La mayoría de las personas que leen lo que dicen los proveedores y escritores de seguridad no tienen más remedio que creer que el phishing es nuevo y sofisticado.
Esta NO es una línea de tiempo para todos los ataques dirigidos por phishing, que me obligarían a desglosar todo por hora o minuto. No tengo tiempo para documentar todo eso, y nadie debería tener suficiente tiempo para poder leerlo. Esta línea de tiempo es clave porque involucra a empresas que afirman proteger a las personas del tipo de ataque en el que cayeron.
Es hora de dejar de avergonzar a las víctimas de los empleados. Es hora de preguntar:
¿Qué controles de seguridad tenía implementados la organización violada? ¿Por qué esos controles de seguridad no detectaron el ataque de phishing antes de que llegara a un empleado? Sykes (adquirida por Sitel) fue violada por un grupo de ciberdelincuentes que atacaron a un empleado con un ataque que proporcionó acceso a la computadora portátil de un ingeniero de atención al cliente.Sitel es un proveedor de atención al cliente de Okta.Okta es una empresa de seguridad que brinda servicios de autenticación a miles de organizaciones en todo el mundo, incluidas Cloudflare y Twilio.#Lapsus$ asumió la responsabilidad del ataque en Sitel, compartiendo capturas de pantalla de los sistemas internos de Okta en un canal de Telegram. El atacante accedió a 2 de los inquilinos de clientes activos de Okta dentro de la aplicación SuperUser y vio información adicional en otras aplicaciones como Slack y Jira. Okta concluyó que 400 de sus clientes se vieron potencialmente afectados . Más aquí. Microsoft confirmó que Lapsus$ comprometió su red a través de un ataque dirigido por phishing contra sus empleados. Microsoft es uno de los proveedores de seguridad más grandes del mundo y genera muchos miles de millones de dólares cada año con la venta de soluciones de seguridad diseño. Si no tuvieran fallas, sus propios empleados no caerían en los ataques de phishing con tanta frecuencia como lo hacen. Más aquí. Globant dijo que un ataque cibernético en su red y los datos de los clientes puede haber comenzado a través de una cuenta de empleado comprometida, es decir, phishing. Después del ataque, Lapsus $ compartió capturas de pantalla de un directorio de archivos que contenía nombres de varias empresas, incluidos los gigantes tecnológicos Facebook, el App Apple Health, DHL, Citibank y BNP Paribas Cardiff, entre otros. Más aquí. Nvidia confirmó que fue hackeada por Lapsus$, filtrando las credenciales de los empleados e información de propiedad en Internet. Lapsus$ afirmó haber tenido alrededor de un terabyte de datos de Nvidia. Más aquí. T-Mobile confirmó que Lapsus$ obtuvo acceso a su sistema con credenciales robadas. Hubo un período tranquilo entre mayo y julio. Si tuviera que adivinar, diría que los miembros de Lapsus$ utilizaron este tiempo para planificar y preparar sus ataques de phishing dirigidos por SMS, utilizando la marca de Okta y los datos de los clientes de Okta que fueron robados durante el ataque a Sitel. Los empleados de Twilio cayeron por un ataque de phishing por SMS que llevó a que algunos de sus clientes se vieran comprometidos. Los atacantes (Lapsus$) se hicieron pasar por una de las propias URL de Twilio y una página de inicio de sesión de Twilio/Okta. Okta es el proveedor de seguridad de Twilio para la gestión de identidades. Más aquí.3 Los empleados de Cloudflare cayeron en un ataque de phishing por SMS. Los atacantes (Lapsus$) se hicieron pasar por una de las propias URL de Cloudflare y una página de inicio de sesión de Cloudflare/Okta. Okta es el proveedor de seguridad de Cloudflare para la gestión de identidades. Más aquí. Aquí hay un artículo que escribí para explicar lo que sucedió y por qué Cloudflare pudo proteger los datos de sus clientes en un ataque cibernético similar al que violó la red de Twilio, comprometiendo algunos de los datos de sus clientes.
Agosto 2022 en adelante
Tenemos todas las razones para creer que se están planificando y ejecutando más ataques dirigidos por phishing mientras lee este artículo. ¿Por qué pensaríamos lo contrario?
Mi definición de phishing parece ser diferente a casi todo lo que he leído, incluida wikipedia. Así que sentí que era hora de escribir mis pensamientos.
Casi todas las empresas de seguridad que he investigado definen el phishing como una técnica de ingeniería social utilizada para obtener información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito. PhishTank solo permite que las páginas web diseñadas para robar nombres de usuario y contraseñas se incluyan en su lista de bloqueo de URL. Rechazan los envíos de amenazas de phishing asociadas con ataques de malware o ransomware.
Creo que el phishing es mucho más.
El phishing es la práctica de hacerse pasar por personas y organizaciones en Internet.
El phishing genera el 90 % del fraude en línea, las violaciones de datos, el robo de identidad, el malware y los ataques patrocinados por el estado. No se trata sólo del robo de información personal.
TLDR; Los ataques de phishing que vemos hoy en día se descubrieron por primera vez en la red de AOL en 1996. Eso fue hace mucho tiempo. Para poner eso en perspectiva, Google no se fundó hasta 1998, y la mayoría de los ingenieros de Chrome que representan a Google en los organismos de estándares en la actualidad no se graduaron de la universidad hasta la década de 2000. Más aquí.