Nube de Microsoft utilizada para alojar phishing

Usualmente, los atacantes buscan sitios vulnerables para alojar sitios de phishing y robar información de usuarios descuidados. Esta tendencia podría verse facilitada por el uso de servicios de alojamiento con períodos gratuitos de prueba de empresas reconocidas, y esto fue lo que ocurrió con Microsoft Azure.

Entre los sitios afectados por estas campañas se encuentran Apple, PayPal, American Express y Visa, lo cual nos da una idea de la amplitud de víctimas potenciales que podrían verse afectadas por este tipo de campañas.

De acuerdo a un informe de Netcraft, una empresa con base en Inglaterra y dedicada a proveer servicios de Internet, se han detectado casos donde los atacantes aprovechan el período de prueba por 30 días del servicio Microsoft Azure para alojar sitios de phishing y robar información sensible. Azure es la plataforma de almacenamiento en la nube de Microsoft.

Sabemos que las campañas de phishing se suelen enfocar en afectar servicios populares o aprovechar eventos masivos, como el Mundial de Brasil 2014 para robar principalmente datos bancarios. La gran mayoría de estos sitios falsos se alojan en servidores con bajas medidas de seguridad y por lo tanto los atacantes pueden ingresar y subir cualquier tipo de información.

Como en cualquier caso de phishing, la estética del sitio falso es idéntica a la del sitio original y además la dirección del sitio web está relacionada con el servicio afectado. Pero en este caso, al final de la dirección están las cadenas de caracteres cloudapp.net y azurewebsites.net, asociadas con el servicio de Microsoft.

A continuación compartimos una captura tomada del informe publicado por Netcraft:

azure-paypal2
Una de las características que aprovechan los atacantes de este servicio, es el hecho de que los sitios cuentan con un certificado SSL. Por lo tanto, si quienes ingresan no verifican en qué consiste, se pueden quedar con la falsa sensación de que el sitio está realmente protegido y se trata de algo real, spolo porque cuenta con un certificado.

De acuerdo al informe, además de utilizar los servicios de alojamiento de páginas web para tener publicado el sitio, los atacantes también utilizan otros recursos asociados a esta nube, como el correo electrónico, para completar el robo de información.

Conocer el funcionamiento de estas campañas de phishing nos demuestra que los atacantes están en la búsqueda constante de nuevas alternativas para robar información valiosa y obtener rédito económico.

En nuestra Guía de Seguridad en Redes Sociales encontrarán un apartado dedicado a campañas de phishing y cómo identificarlas.

Desde el Laboratorio de Investigación de ESET Latinoamérica, les recordamos la importancia de estar atentos a los mensajes de correo electrónico y de redes sociales recibidos que piden información sensible. Después de todo, en algunos casos es mejor desconfiar, ya que como vemos, los atacantes pueden aprovechar cualquier recurso para llevar adelante sus ataques.

Créditos imagen: ©Tri Nguyen | P h o t o g r a p h y/Flickr
 

Autor , ESET

Síguenos