Los ciberdelincuentes crean cuentas en Quickbooks para robar datos y credenciales de usuarios

CREA designó nuevas autoridades regionales
30 junio, 2022
Eventbrite brinda servicios de fertilidad y planificación familiar a sus empleados
4 julio, 2022
Categories
Tags

  • Los ciberdelincuentes suplantan marcas de confianza para acceder a los emails de los usuarios

  • Al aprovechar la legitimidad de un dominio de confianza, es más probable que las soluciones de seguridad consideren el propio correo electrónico como auténtico

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Avanan, una empresa de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, alerta de una campaña de phishing que se aprovecha de Quickbooks para robar datos a los usuarios. Los ciberdelincuentes suplantan a las marcas de confianza para acceder a los emails de los internautas. Al aprovechar la legitimidad de un dominio de confianza, es más probable que las soluciones de seguridad consideren el propio correo electrónico como auténtico. 

El contenido del mensaje puede diferir de los servicios que ofrece el dominio, pero lo fundamental es valerse del servicio legítimo. A esto se denomina «La autopista estática». Los ciberdelincuentes utilizan páginas web que están en “Listas de permisos estáticas” para entrar en la bandeja de entrada.

Desde mayo de 2022, los investigadores de Avanan observaron que los ciberdelincuentes utilizan el dominio de Quickbooks -quickbooks.intuit.com- para enviar facturas maliciosas y solicitar pagos fraudulentos. Los atacantes envían el correo electrónico desde el dominio de Quickbooks, utilizando una cuenta gratuita en la que se dieron de alta, falsificando el cuerpo del email imitando a marcas como Norton u Office 365.

De esta manera, crean cuentas en Quickbooks y luego envían facturas y solicitudes de pago maliciosas directamente desde el servicio. En este ataque, utilizan la legitimidad del nombrado servicio para entrar en la bandeja de entrada.

En este ataque los ciberdelincuentes presentan lo que parece una factura de Norton. El correo electrónico procede de un dominio de Quickbooks porque previamente se registraron en una de sus cuentas y están enviando una factura desde la misma, animando al usuario a llamar si hay alguna duda. Al realizar la petición al número proporcionado, solicitarán los datos de la tarjeta de crédito para cancelar la transacción. Hay que tener en cuenta que tanto teléfono como dirección no se corresponden con una real.

Los ciberdelincuentes, especialmente en la Dark Web, están utilizando una combinación de ingeniería social y dominios legítimos para extraer dinero y credenciales de los usuarios finales. Al utilizar un dominio legítimo -en este caso, Quickbooks- ofrece un dominio de confianza para enviar correos electrónicos de phishing. Este proceso lo hemos visto a lo largo de los años con marcas populares como Microsoft, Google, Walgreens, DHL, Adobe y muchas más que se encuentran en “Listas de Permisos estáticas”. Es evidente que las propias organizaciones no pueden bloquear a Google, por lo que se permite que los dominios relacionados entren en la bandeja de entrada. Los ciberdelincuentes roban estas listas estáticas continuamente

Este ataque presenta entonces un doble golpe. Los ciberdelincuentes consiguen dinero y tienen un número de teléfono para futuras amenazas, ya sea por mensaje de texto o por WhatsApp. Así funciona gracias a lo que los propios atacantes denominan doble lanza:

  1. Conseguir que el usuario llame al número de teléfono indicado.
  2. Hacer que el internauta pague la factura.

Si a esto se añade que hay una legitimidad incorporada, ya que el email proviene de Quickbooks, representa una campaña de phishing especialmente engañosa y eficaz.

Mejores prácticas para protegerse

  1. Antes de llamar a un servicio desconocido, buscar en Google el número y comprobar las cuentas para ver si, efectivamente, existe el cargo.
  2. Implantar una seguridad avanzada que analice más de un indicador para determinar si un correo electrónico no contiene errores.
  3. Animar a los usuarios a preguntar al departamento de TI si no están seguros de la legitimidad de un email.

 

 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs. 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.

 

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.