El phishing sigue siendo una de las variantes de ciberataque más efectivas, y la firma SANS puede constatarlo. Especialistas mencionan que la firma de capacitación en ciberseguridad fue víctima de un ataque de phishing después de que uno de sus empleados recibiera un simple correo electrónico.
SANS es una de las firmas de capacitación en seguridad informática más importantes del mundo, por lo que a muchos les resulta insólito que sus empleados hayan caído en una campaña de phishing tan fácilmente.
A través de una alerta publicada en su sitio web, SANS reconoció que un empleado cayó en una trampa que permitió a los actores de amenazas obtener las credenciales de inicio de sesión a una cuenta de correo electrónico empresarial. El incidente fue detectado el pasado 6 de agosto durante una revisión rutinaria: “Identificamos un único correo electrónico de phishing como vector del ataque. Como resultado, la cuenta de correo electrónico de uno de nuestros empleados se vio afectada. Creemos que no hay otras cuentas o sistemas comprometidas”, menciona la alerta de SANS.
Después de obtener acceso, el atacante configuró una regla de reenvío de cualquier correo electrónico recibido por la cuenta comprometida a una dirección externa, además de instalar un plugin para Office 365 malicioso. La compañía no ha revelado mayores detalles sobre el plugin, aunque es probable que los atacantes hayan empleado Office 365 Oauth para ganar persistencia en la cuenta de correo.
En total se reenviaron 513 correos electrónicos, de los cuales pueden obtenerse alrededor de 28 mil registros personales de los empleados y clientes de la compañía. SANS afirma que la información expuesta no incluye contraseñas o datos financieros, aunque sí pueden encontrarse nombres completos, direcciones email, números telefónicos, domicilios, entre otros datos.
Respecto al proceso de investigación de incidentes, es el propio personal de SANS el encargado de atender el incidente. La compañía asegura que se han tomado todas las medidas necesarias para que no se repitan incidentes similares en el futuro. Los usuarios y empleados afectados están siendo notificados y deben estar atentos a cualquier nuevo incidente de phishing empleando la información comprometida.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.