Microsoft ha emitido una advertencia sobre una estafa activa dirigida a empleados, cuyo objetivo es desviar los pagos de nómina a cuentas controladas por los atacantes. Esta operación se lleva a cabo tras comprometer los perfiles de los empleados en plataformas de gestión de recursos humanos (RR. HH.) basadas en la nube, como Workday.
Funcionamiento de “Payroll Pirate”
La campaña, denominada “Payroll Pirate” por Microsoft, se basa en el envío de correos electrónicos de phishing. Estos mensajes engañosos inducen a las víctimas a proporcionar sus credenciales de acceso a sus cuentas en la nube. Los estafadores emplean tácticas de “adversario en el medio” para interceptar y obtener los códigos de autenticación multifactor (MFA).
Esta técnica consiste en situarse entre la víctima y el sitio web legítimo al que intenta acceder. En realidad, la víctima está interactuando con una página falsa controlada por los atacantes. Una vez que obtienen las credenciales y el código MFA, los delincuentes los introducen en el sitio web real.
El aumento de este tipo de ataques subraya la importancia de implementar métodos de autenticación multifactor que cumplan con el estándar FIDO, ya que son inmunes a las tácticas de “adversario en el medio”.
Modificación de la información de nómina
Una vez que acceden a las cuentas de los empleados, los estafadores modifican la configuración de la nómina en Workday. Esto provoca que los depósitos directos se desvíen de las cuentas bancarias originales de los empleados a cuentas controladas por los atacantes. Para evitar que Workday envíe notificaciones automáticas a los usuarios sobre estos cambios, los atacantes crean reglas de correo electrónico que impiden que estos mensajes lleguen a la bandeja de entrada.
En un comunicado, Microsoft informó que los atacantes utilizan correos electrónicos de phishing realistas, dirigidos a cuentas de diversas universidades, para obtener credenciales. Desde marzo, se han detectado once cuentas comprometidas en tres universidades, que se utilizaron para enviar correos electrónicos de phishing a casi seis mil cuentas de correo electrónico en veinticinco universidades.
Los correos electrónicos de phishing utilizan diversos pretextos para engañar a los destinatarios. En algunos casos, se informa a los empleados sobre una posible exposición a una enfermedad contagiosa en el campus y se les proporciona un enlace para verificar si están entre los expuestos. En otros casos, se notifica un cambio reciente en los beneficios para empleados, con un enlace para obtener más información. En ambos casos, los enlaces dirigen a una página controlada por los atacantes que simula ser una página de inicio de sesión de la cuenta de trabajo del empleado.
En algunas situaciones, los atacantes han logrado añadir un número de teléfono bajo su control como método de recuperación de cuenta. Esto les permite mantener un acceso persistente a la cuenta comprometida.
Recomendaciones de seguridad
Microsoft recomienda evitar las formas de MFA que dependen de códigos de un solo uso, correos electrónicos, mensajes de texto y notificaciones push, siempre que sea posible. En su lugar, se deben priorizar alternativas más seguras, como las claves de acceso, las llaves de seguridad físicas y otras formas de autenticación compatibles con FIDO. Hasta la fecha, no se han registrado casos de ataques exitosos contra MFA basada en FIDO.
Sin embargo, es importante tener en cuenta que si los sistemas del usuario final o los sistemas basados en la nube ya están comprometidos, o si los servicios en línea permiten alternativas que no son FIDO, la seguridad puede verse comprometida.
También se aconseja revisar periódicamente las reglas de filtrado de correo electrónico para detectar cualquier regla que pueda estar bloqueando mensajes relacionados con la seguridad de Workday u otros servicios.
Fuente original: ver aquí