Una sofisticada campaña de phishing está dirigida a organizaciones del Reino Unido que patrocinan a los trabajadores y estudiantes migrantes, aprovechando la marca auténtica de la oficina en el hogar para comprometer las credenciales dentro del Sistema de Gestión de Patrocinio (SMS) del gobierno. Esta campaña, identificada por el equipo de investigación de amenazas de Mimecast, plantea una amenaza significativa para el sistema de inmigración del Reino Unido, lo que puede conducir a una extensa explotación financiera y robo de datos.
El SMS es una plataforma crítica para empleadores que patrocinan visas en las categorías de trabajadores y trabajadores temporales, así como para instituciones que patrocinan visas en las categorías de estudiantes y niños. Sus funciones principales incluyen la gestión de la creación y asignación de certificados de patrocinio para posibles empleados o estudiantes e informar cambios en las circunstancias para los inmigrantes patrocinados. El objetivo de los atacantes es obtener acceso no autorizado a este sistema para varias ganancias financieras ilícitas.
Según Samantha Clarke, Hiwot Mendahun y Ankit Gupta de Mimecast, la campaña emplea correos electrónicos fraudulentos que se esfuerzan meticulosamente las comunicaciones oficiales del Ministerio del Interior. Estos correos electrónicos generalmente se envían a direcciones de correo electrónico organizacionales generales, transmitiendo advertencias urgentes sobre problemas de cumplimiento o suspensión de la cuenta. Los mensajes contienen enlaces maliciosos que redirigen a los destinatarios a páginas de inicio de sesión falsas de SMS altamente convincentes diseñadas para cosechar ID de usuario y contraseñas.
El análisis técnico de Mimecast revela los métodos avanzados de los atacantes, incluido el uso de URL activadas por CAPTCHA como un mecanismo de filtrado inicial. Esto es seguido por la redirección a las páginas de phishing controladas por los atacantes que son clones directos del portal de inicio de sesión de SMS genuino. Estas páginas clonadas incorporan HTML robado, enlaces a los activos oficiales del gobierno del Reino Unido y alteraciones mínimas pero críticas al proceso de presentación de formularios. El equipo de Mimecast señaló: “Los actores de amenaza demuestran una comprensión avanzada de los patrones de comunicación gubernamental y las expectativas de los usuarios dentro del sistema de inmigración del Reino Unido”.
Los objetivos de este ataque de phishing parecen ser dobles, dirigidos a ambas organizaciones que legítimamente patrocinan a los inmigrantes al Reino Unido y a los propios inmigrantes. Una vez que los atacantes comprometen las credenciales de SMS, persiguen múltiples objetivos de monetización. Un objetivo principal es la venta de acceso a cuentas comprometidas en foros web oscuros para facilitar la emisión de certificados falsos de patrocinio (COS). También tienen como objetivo realizar ataques de extorsión directamente en las organizaciones comprometidas.
Una vía de explotación más insidiosa y potencialmente lucrativa implica la creación de ofertas de trabajo falsas y esquemas de patrocinio de visas. Computer Weekly entiende que algunas víctimas posteriores, las personas que buscan mudarse al Reino Unido, han sido defraudadas de sumas significativas, con informes que indican pérdidas de hasta £ 20,000 por visas y ofertas de trabajo aparentemente legítimas que nunca se materializaron.
En respuesta a esta campaña, Mimecast ya ha implementado capacidades de detección integrales dentro de su plataforma de seguridad de correo electrónico para identificar y bloquear los correos electrónicos entrantes asociados. La compañía continúa monitoreando cualquier nuevo desarrollo relacionado con estas amenazas.
Para las organizaciones que utilizan el servicio SMS, Mimecast recomienda varios pasos cruciales para mejorar su postura de seguridad:
- Implementar capacidades de seguridad de correo electrónico: Implemente soluciones que puedan detectar suplantación del gobierno y patrones de URL sospechosos. Esto incluye la reescritura de URL y el sandboxing para analizar los enlaces antes de la interacción del usuario.
- Hacer cumplir la autenticación multifactor (MFA): Establecer y hacer cumplir MFA para el acceso a SMS. Las organizaciones también deben rotar estas credenciales con frecuencia y monitorear cuentas de SMS para patrones de acceso inusuales o ubicaciones de inicio de sesión.
- Proporcionar capacitación integral: Educar al personal con acceso SMS en comunicaciones genuinas del Ministerio del Interior y dominios de correo electrónico oficiales. Enfatice la importancia de verificar las notificaciones urgentes antes de tomar medidas. Esto debe combinarse con el entrenamiento general de la conciencia de phishing y las simulaciones.
- Implementar procedimientos de verificación: Establezca procedimientos de verificación robustos para todas las comunicaciones relacionadas con SMS. Incorpore el compromiso de SMS en los protocolos de respuesta a incidentes existentes y, cuando sea posible, segregan las tareas de SMS para evitar escenarios de un solo punto de falla.
Source: Mimecast identifica la campaña de phishing de SMS de la oficina en casa
