El ataque PhishGun
Francisco Arcia Ramirez
Workplace Security | Harmony | Sales Expert Iberia en Check Point
Las empresas confían en los proveedores de servicios de correo electrónico (Email Delivery Services=EDS) para enviar correos electrónicos comerciales a su público objetivo. Con frecuencia, estos correos electrónicos estarán relacionados con alguna actividad de marketing y ventas. Debido a la naturaleza de los correos electrónicos de marketing y ventas, los correos electrónicos a menudo quedan atrapados por los filtros de correo electrónico. Las soluciones EDS ofrecen una forma de lidiar con este problema añadiendo credibilidad a los correos electrónicos enviados a las audiencias que tienen como objetivo. La credibilidad puede ser en forma de un historial de dominio alto, reputaciones de IP válidas, comprobaciones de SPF / DKIM válidas y un reconocimiento de las soluciones de seguridad de correo electrónico, como EOP y ATP de Microsoft, de que son fuentes confiables. Aquí es donde nos encontramos con el gran problema.
Uno de esos EDS es MailGun por ejemplo. En el ataque PhishGun, los piratas informáticos están aprovechando MailGun para lanzar y ofuscar sus ataques.
Los correos electrónicos en sí mismos no indican que sean de Mailgun. Solo cuando se busca la Dirección IP de remitente nos podemos hacer la siguiente pregunta:
¿Se puede ver que la dirección IP está registrada en Mailgun? Los clientes más afectados por estos ataques dependían de los servicios de Mailgun para enviar correos electrónicos operativos (como alertas de operaciones de desarrollo) y tenían las direcciones IP de Mailgun en las listas de permitidos.
Así es como se ven los encabezados de un correo electrónico típico:
Recomendado por LinkedIn
Tenga en cuenta que la dirección "De" se ha falsificado para que parezca que proviene de la empresa X. Solo cuando verifica la dirección del "Remitente"se puede ver que proviene de un dominio de suplantación de identidad y en este caso, ese dominio es click-recruit.co.uk y la dirección de correo electrónico del remitente real es CEO=company.com@click-recruit.co.uk. Esto es lo que hace que este ataque sea único y convierte a Mailgun en una plataforma muy atractiva para los piratas informáticos. Mailgun permite a sus clientes establecer un campo diferente en el "De" y en los campos "Remitente" de los encabezados.
company.com@click-recruit.co.uk es una dirección de Mailgun válida y, por lo tanto, pasará la comprobación de SPF de Microsoft 365.
En consecuencia, el correo electrónico será considerado legítimo por las capas de seguridad de Microsoft 365 pero al usuario final se le presentará un "De" diferente, lo que lo convertirá en un ataque de suplantación de phishing perfecto como se ve en la captura de pantalla a continuación tomada del cliente de correo electrónico de macOS predeterminado: