OFFICE 365 expuesto a ataques de phishing y filtración de datos por compromiso de cuentas de correo

Detectar, proteger e informar.
En los últimos tiempos, se han visto muchos casos de phishing y exfiltrado de datos, dirigidos a empleados, administradores de infraestructura y directores ejecutivos de determinadas organizaciones. En particular se ha observado el robo sus cuentas de correo que han sido utilizadas para intentos de fraude.
Estas actividades se atribuyen a grupos organizados para cometer delitos informáticos.

Se recomienda a los directores de las organizaciones que destinen recursos a la prevención y detección de fraudes y exfiltración de datos, y a la capacitación de sus empleados para que conozcan las posibles amenazas a los que se encuentran expuestos.

Los atacantes mediante correos electrónicos o sitios web falsos han podido obtener casillas de correo y contraseñas de los empleados, y las han utilizado para acceder a los sistemas de las organizaciones que utilizan Office 365.
Una vez que acceden al sistema, los atacantes cambian la configuración de la casilla de las personas que tienen poder de decisión o que manejan dinero, para que una copia de sus correo les sea enviada automáticamente a ellos. La información confidencial que recaban es utilizada para cometer los fraudes.
También utilizan estas casilla para enviar nuevos sitios y correos fraudulentos a otras compañías.

A pesar del problema, muy pocas organizaciones han realizado el reporte de estas situaciones.

Se recomienda a todas las organizaciones que utilizan Office 365:

  • Revisar si el sistema de correo electrónico tiene configurado de forma no autorizada el forwarding de mensajes.
  • Revisar los logs de acceso al sistema desde lugares y horarios inusuales.
  • Considerar restringir el reenvío de correos electrónicos de forma automática.
  • Evaluar la adopción de autenticación de dos factores.
  • Instruir a los empleados acerca de buenas prácticas de seguridad a la hora de manejar el correo electrónico.
  • Instar a los empleados a reportar el problema al responsible de TI de la organización.
  • Reportar el incidente de seguridad al CERT o CSIRT correspondiente, las notificaciones son útiles para generar consciencia de la situación de ciberseguridad en la región y ayudan a la prevención de futuros casos.
  • Usted podrá encontrar una lista de CSIRTs de nuestra región: https://csirt.lacnic.net/csirts/