Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Microsoft Defender for Office 365: mejor con Simulador de ataques

Publicado el 28 febrero, 2022 por Beatriz Santos

Comencemos con una definición: Amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad y causar daños o perjuicios sobre una organización. 

Según ENISA, la agencia europea de ciberseguridad, las principales brechas de seguridad observadas para el año 2021* fueron: 

  • Ransomware 
  • Malware  
  • Criptojacking  
  • Amenazas relacionadas con el correo electrónico  
  • Amenazas contra los datos  
  • Amenazas contra la disponibilidad y la integridad  
  • Desinformación – información errónea  
  • Amenazas no maliciosas  
  • Ataques a la cadena de suministro (supply-chain attacks) 

* Threat Landscape — ENISA (europa.eu) 

De éstas, casi todas (si no todas), tienen un punto en común: conseguir engañarnos y encontrar la vulnerabilidad para introducirse en nuestra organización.  

A día de hoy, los usuarios nos hemos vuelto el primer objetivo en los ciberataques, la brecha llamada ‘Amenazas relacionadas con el correo electrónico’ siempre está en esta lista ¿Y qué significa esto? Principalmente, que debemos de poner más foco en capacitarnos para conseguir distinguir correctamente una amenaza, de una información legítima. 

Pero no es tan fácil. Hoy en día los correos electrónicos con ingeniería social están cada vez más trabajados, más dirigidos y son más dañinos, por lo que se hace indispensable el capacitar a esa primera línea de defensa que existe en todas las organizaciones, y que somos los usuarios.  

Recibir un email con ransomware, un malware que derive en algún malware o en minería de criptomonedas, un email con una url que nos envíe a un sitio malicioso suplantado que comprometa nuestras credenciales y dé acceso a nuestros datos… multitud de vulnerabilidades donde el phishing por correo electrónico, compartir adjuntos maliciosos y URLs no legítimas…etc. pueden comprometer gravemente a nuestra organización. 

Según ENISA, los correos electrónicos de phishing son la fuente principal de ataque en una infección por ransomware. Además, han aumentado los ataques denominados Business E-mail Compromise (BEC) o estafa por correo electrónico, creciendo en sofisticación y volviéndose más selectivos. 

Los ataques basados en la identidad aumentan un 300% año tras año. Esto se debe a que la identidad es la clave para acceder al patrimonio digital de activos de las empresas (archivos, bases de datos, información confidencial….etc.). Los ciberdelincuentes lo saben, y por eso se centran en gran medida en intentar robar nuestras credenciales. 

Aún estando en posesión de una buena tecnología de protección que detenga la mayoría de estos ataques antes de que lleguen a la bandeja de entrada del usuario, siempre será necesario capacitar a las personas para que identifiquen y se defiendan de ellos, tanto a nivel empresarial como personal. 

 ¿Cómo defendernos de los ciberataques?

MDO. Entrenamiento de simulación de ataques.

Microsoft 365 cuenta dentro de su familia con Microsoft 365 Defender una sencilla pero potente herramienta para cumplir varios objetivos de protección:  

  • Darnos visibilidad del estado de madurez en la que se encuentran los usuarios de una organización en cuanto al descubrimiento de un correo malicioso o de uno legitimo. 
  • Capacitar y empoderar a los usuarios para ayudarles a reconocer un email con ingeniería social y evitar así ser engañados y fortalecer esa primera capa defensiva de la organización. 
  • Ser capaces de identificar las brechas de seguridad y saber dónde tengo que poner más foco de seguridad. 
  • El uso de una herramienta potente para estar prevenidos ante un posible ataque real de ingeniería social. 

 Esta herramienta se llama: Attack simulator training o Entrenamiento de simulación de ataque, herramienta que forma parte de Microsoft Defender for Office 365. 

Simulador de ataques, nos va a permitir ejecutar de forma interna en nuestra organización, distintas campañas de phishing iguales que las reales pero sin carga maliciosa, para probar con precisión la vulnerabilidad de la organización y el nivel de madurez en cuanto a ciberseguridad que tienen los usuarios.  

 Esta herramienta consta de partes automatizadas y partes manuales:  

El lanzamiento de la campaña de simulación puede programarse, y así ejecutarse en cualquier horario, tantas veces se necesite y hacer hincapié en los usuarios que son más vulnerables. También los informes con los resultados de la campaña son partes automatizadas que podemos consultar en cualquier momento y exportar (veremos un ejemplo más adelante). 

Podemos disponer de una gran cantidad de plantillas de phishing o ‘cargas útiles’  creadas en más de 10 idiomas: ruso, japonés, inglés, español, francés, italiano, noruego…etc. con una gran cantidad técnicas de ingeniería social a elegir. 

Técnicas de ingeniería social

Simulador de ataques. Proporciona cinco técnicas diferentes para usarlas en nuestras campaña de simulación de ataque: 

  1. Cosecha de credenciales o robo de credenciales. Un actor malintencionado nos enviaría un mensaje con una dirección URL. Cuando el objetivo hace clic en la dirección URL es redirigido a un sitio web fraudulento que solicita mediante engaños que el usuario introduzca sus credenciales de inicio de sesión.
  2.  Datos adjuntos de malware (Malware attachment). Técnica donde se simula un mensaje con datos adjuntos. Cuando el objetivo abre el archivo adjunto que contiene algún código arbitrario como una macro y al ejecutarse ayudará de alguna forma al atacante a instalar código malicioso en el dispositivo del objetivo. Si fuera real, tendríamos un problema de seguridad en la organización. 
  3. Vínculo en datos adjunto (Link in attachment). Se trata de una técnica ‘híbrida’ entre cosecha de credenciales y datos adjuntos de malware. Aquí el objetivo es que, en un correo electrónico se adjunte un archivo con una dirección URL en la que al usuario, al hacer clic, se le soliciten credenciales de acceso. Esta técnica tiene una triple función: ver la madurez tanto a nivel confianza en el adjunto, como confianza que tiene el usuario en hacer clic en el link y confianza en introducir sus credenciales de acceso. 
  4. Vínculo a malware. Esta técnica incluirá una dirección URL en alguna parte del mensaje (normalmente un botón) el cual hará que el objetivo se descargue y abra de forma automática un archivo generalmente con malware. En esta simulación se descargará una plantilla informativa de la campaña. 
  • URL maliciosa (Drive-by-URL). Esta última técnica incluye una URL hacia un sitio malicioso emulado, donde al hacer clic en el enlace el sitio web intentaría ejecutar un código malicioso para recopilar información sobre el objetivo o implementar un Código malicioso en el dispositivo. 

Cargas útiles o Cargas 

Las cargas útiles son plantillas precargadas en la consola de simulador de ataques, las cuales emulan el mensaje de phishing. 

Estas plantillas las podemos usar tal y como vienen, o podemos personalizarlas. También podremos crear nuestras propias plantillas, algo que con creatividad y maña nos puede quedar una campaña mucho mas dirigida hacia nuestros objetivos. 

Actualmente hay disponibles más de 200 plantillas, las cuales usan distintas técnicas de ingeniería social (1 de las 5 que hemos comentado), creadas en idiomas como: inglés, japones, portugués, alemán, español, francés, coreano, finés, italiano, neerlandés, noruego, ruso y chino. 

Vamos a ver algunos ejemplos de plantilla de carga útil: 

  • Técnica ‘vinculo a malware’ en inglés: 

  • Técnica ‘cosecha de credenciales’ en español: 

  • Técnica ‘adjunto con malware’ en alemán: 

 

Todas estas cargas útiles son totalmente modificables, pudiendo usar cualquiera de ellas y traducirla o adaptarla a nuestras necesidades de ataque, por ejemplo usar nuestro proveedor de internet o banco. 

 ¿Creamos una campaña de simulación? 

Una de las técnicas mas simples y donde podemos obtener mayores resultados es usar una carga útil de ‘cosecha de credenciales’, bien a través de técnicas de ‘vincular en datos adjuntos’ o ‘cosecha de credenciales’. 

En este ejemplo vamos a crear una campaña de simulación utilizando la técnica de ‘vincular en datos adjuntos’ ya que es una de las mas completas.  

 Paso 1. Seleccionar la Carga útil a usar 

Podemos comenzar filtrando el tipo de carga útil que queremos usar por ejemplo, marcamos la opción de idioma en español: 

El resultado nos mostrará las plantillas disponibles con temas muy dispares: dominio caducado, factura sin pagar, test de satisfacción…etc. Pero vamos a usar una plantilla que esté ‘de actualidad’, por ejemplo algo relacionado con COVID19. Seleccionamos ‘evento actual’.

Y examinamos la plantilla llamada ‘Sale of FFP2 masks’ la cual es un anuncio con las mascarillas más baratas del mercado. Aunque quizá uno de los problemas que aquí nos encontramos es que está en francés.  

…No hay problema la podemos copiar y traducir, generando así una carga útil nueva usando la misma plantilla: 

La copiamos 

Y vamos traduciendo todo lo que vamos necesario: 

Y el contenido de la carga útil. Aquí podemos cambiar casi todas las opciones: nombre remitente, correo electrónico (podemos usar uno que se asemeje a uno real pero modificando alguna letra), etc. 

 

Ahora cambiamos el idioma a ‘español’ y modificamos un poco el texto del mensaje. Seguimos con la carga útil: 

 

En la siguiente configuración ‘Agregar indicadores’ podemos añadir indicadores de compromiso donde el destinatario del phishing debía de haberse fijado para descubrir el engaño. Podemos añadir todos los que queramos, por ejemplo indicarle que se debería de haber fijado en la urgencia del texto, en la dirección del remitente, en las faltas gramaticales, en la URL a la que le envía al hacer clic, en logos antiguos…etc. 

Una vez hemos llegado a la revisión de la carga útil, podemos echar un vistazo a cómo vería el usuario los indicadores de compromiso para ayudarle a identificar este tipo de phishing si vuelve a recibirlo en su correo: 

Guardamos la nueva plantilla y continuamos con la creación de la nueva campaña. 

 

 

Paso2. Crear la campaña de simulación 

Ahora nos iremos a la sección de ‘simulaciones’ e iniciamos una nueva simulación: 

1.Seleccionamos la técnica de ingeniería social a la que corresponde la plantilla que acabamos de crear ‘Cosecha de credenciales’, le damos un nombre a nuestra campaña y seleccionamos la carga útil: 

 

2. Ahora tenemos que seleccionar nuestros usuarios destino de la campaña. La selección de usuarios y grupos se integra con Azure Active Directory por lo que crear objetivos de campaña es muy sencillo. Podemos añadir a todos los usuarios de la organización: 

O seleccionar a un puñado de ellos bajo algún condicional: Que pertenecen al departamento financiero, que ya han participado en otras campañas y han reincidido en el engaño, filtrados por ciudad…etc. 

 

En este ejemplo, vamos a seleccionar a ‘todos los usuarios de mi organización’ 

3. El siguiente menú es muy interesante ya que podremos seleccionar vídeos o pequeños tips de entre 3 y 7 minutos de duración que los usuarios pueden recibir y realizar si han ‘picado’ en la trampa del phishing o simplemente por ser objetivo de la campaña. 

Podemos dejar que Microsoft envíe el entrenamiento que sea mas apropiado según el tema que de la carga útil o podremos seleccionar nosotros el entrenamiento que queramos dentro de un amplio catálogo. 


Por ejemplo, el entrenamiento sobre ‘ciberestafa’ mostraría un vídeo de unos 7 min al usuario capacitándolo para reconocer un phishing:  

Seleccionamos los entrenamientos que queremos que nuestros usuarios realicen y cuándo queremos que se le active el tiempo de entrenamiento: si a todos los usuarios que pertenecen a la campaña, o si el usuario ha hecho clic en la carga útil o si está en peligro porque ha introducido sus credenciales. 

4. En la página de aterrizaje podremos seleccionar la pagina que el usuario verá al hacer clic en el enlace malicioso que contiene el correo simulado de phishing. Podremos seleccionar hasta 5 diseños distintos: 

Incluso podemos personalizar esta página y hacerla más reconocible y amigable incluyendo nuestro logo. Por último, podremos activar/desactivar que el usuario pueda aprender dónde debería de haberse fijado en el mensaje para reconocer el phishing. (recomiendo activar esta última opción) 

 

5. La última configuración de nuestra campaña nos permite añadir un mensaje de agradecimiento al usuario que ha descubierto el phishing y ha usado el complemento de ‘informar de mensaje’ de Outlook. Complemento que notifica tanto a la organización como a Microsoft de un posible nuevo caso de phishing o un phishing no bloqueado. 

6. Y finalizar, indicando el arranque y duración de la campaña. Existen distintas opciones: o comenzar inmediatamente después de guardar la campaña o con una programación de inicio y final de la misma (mínimo 2 días). 

¿Cómo participan en la campaña nuestros usuarios? 

Las personas objetivo de las campañas recibirán en su bandeja de entrada los mensajes de correo que hemos preparado con phishing simulado imitando a un ataque de phishing real. El proceso  sería algo así: 

  • Reciben el correo y según su madurez en phishing, deciden si hacen caso de lo que se les indica, no hacen nada o informan del mensaje a través del complemento de Outlook: 

Este correo de phishing trata de robar las credenciales del usuario, con lo que al hacer clic en alguna parte del mensaje mostrará la siguiente ventana: 

En este punto, el usuario se tenía que haber dado cuenta, tanto de que la dirección url no es la esperada, como que no sale el logo de la organización, ni el tema de Microsoft 365 es el corporativo. 

Nota: Éstas credenciales no se almacenan en ningún sitio. El simulador de ataques de Microsoft está en posesión de distintos dominios (como es este caso https://www.attemplate.com/) que son usados para esta herramienta, pero no almacena ningún dato confidencial. 

Tras introducir las credenciales, el usuario accederá a una web donde se le indica que ha sido objeto de una campaña de phishing y que tenía que haberse fijado en los distintos indicadores de compromiso que hemos configurado: 

Al ser un destinatario o usuario en riesgo, se han activado las píldoras de formación que hemos configurado en la campaña. Puede acceder a ellas desde esta ‘landing page’ al final de la misma: 

O bien desde su bandeja de entrada, donde le aparecerá una notificación de formación. ¡Ojo! Por ahora, este correo electrónico sólo está en inglés, con lo que muchos usuarios pueden llegar a pensar que se trata de un nuevo phishing y no realizan la formación.  

Es interesante conocer los usuarios que están en riesgo y no han realizado las píldoras formativas y enviarles la url de forma manual.: https://security.microsoft.com/trainingassignments 

Ver resultados 

Una vez que ha pasado los días configurados en la campaña, podemos comenzar a ver los resultados y podemos crear un informe de situación en cuanto al nivel de madurez que tienen nuestros usuarios a la hora de  diferenciar un correo legítimo de uno malicioso. 

Para ir viendo los resultados, solo hacemos clic en nuestra campaña o seleccionamos ‘ver informe’. 

En el panel de información vemos distintos datos como: el estado de la campaña (si está activa o ya completada), los usuarios a los que va dirigida, los usuarios en riesgo, las cargas útiles usadas, un primer vistazo a cómo han interactuado los objetivos con los correos que han recibido…etc. 

Para más información, podemos hacer clic en ‘ver usuarios’, donde tendremos un recopilatorio completo de todo lo que han hecho los usuarios con el correo phishing. Además, podemos descargarlo en .CSV para poder tratar los datos como queramos. 

Por ejemplo, aquí ‘Adele Vance’ está en peligro, ya que ha proporcionado credenciales pasando por hacer clic en la url. Además, se le han asignado 3 formaciones de los cuales ha realizado 1 y aun le faltan 2. 

Conclusión

Los ataques de phishing se han vuelto mucho más frecuentes desde el inicio de la pandemia. Por lo tanto, es importante que las organizaciones mantengan a sus empleados capacitados frente a posibles ataques cibernéticos. 

La capacitación en simulación de ataques proporciona una forma sencilla y fácilmente gestionable, para que las organizaciones establezcan simulacros y controles de seguridad;  conozcan el estado de madurez de sus empleados sobre estos ataques y les capaciten para que no sean víctimas de tales ataques en el futuro.  

mm

Sobre Beatriz Santos

Microsoft Cloud Engineer en ENCAMINA, certificada por Microsoft en tecnologías Azure Security Engineer & Administrator, Enterprise Administrator Expert, Cloud Security & Compliance Specialis, MCSE en productividad, MCSE en correo electrónico. Amplia experiencia en consultoría en gobernanza y despliegue de soluciones Cloud Microsoft y seguridad 365. Máster en Ciberseguridad, análisis y gestión de la seguridad informática en IEBS Business School. Disfrutando de la tecnología día a día y de ver cómo los que me rodean, disfrutan de ella también.
Esta entrada ha sido publicada en seguridad. Enlace permanente.
Suscríbete ¡Suscríbete a nuestras RRSS!
ENCAMINA, piensa en colores