Una campaña de phishing con un inteligente señuelo de Spotify se ha visto tratando de robar las credenciales de usuario para el popular servicio de transmisión.
Los investigadores de AppRiver detectaron la ofensiva a principios de este mes, en una campaña que busca comprometer a los clientes de Spotify mediante el uso de mensajes falsos, pero convincentes, con el propósito de secuestrar la cuenta del propietario.
Los correos electrónicos intentan engañar a los usuarios para que hagan clic en un enlace de phishing que los redirija a un sitio web engañoso. Una vez en el sitio, se les pidió a los usuarios que ingresaran su nombre de usuario y contraseña, donde irían directamente al repositorio de los atacantes.
Obviamente, las credenciales podrían ser útiles si la víctima las ha reutilizado en otros sitios de mayor valor, como la banca en línea. Sin embargo, más allá de vender las credenciales en la DarkWeb, "saber una sola contraseña para una víctima abre la puerta a una multitud de vectores de ataque", dijo David Pickett, analista de ciberseguridad de AppRiver, a Threatpost.
"Saber cómo alguien crea una contraseña ofrece una visión personal de su mentalidad de creación de contraseñas y la probabilidad de éxito de ataque en general", dijo. "Esto también brinda una oportunidad para que la ingeniería social utilice la misma información que es importante para la víctima".
Por ejemplo, el uso de un término como Fluffy84 podría decirle a un atacante que la víctima ama a su gato, y que potencialmente nació en 1984, junto con el formato que podrían usar para crear otras contraseñas.
"Esa información de cumpleaños se pudo verificar mediante búsquedas de datos de personas en línea (Pipl, Wink, PeekYou, etc.) y condujo a descubrir todos los nombres de animales y fechas importantes en su vida", dijo. "Las plataformas de medios sociales hacen que este reconocimiento sea extremadamente simple y valioso".
Además, la información obtenida se puede ingresar fácilmente en un cracker de contraseñas para generar contraseñas potenciales para un ataque de contraseña híbrida.
"Esto está utilizando muchas posibilidades de contraseña únicas asociadas al objetivo de esta información recopilada específica para su vida", nos dijo Pickett. “Su lista de reproducción de Spotify podría encajar en la ecuación aquí si descubriera que disfrutaron de un tema o artistas en particular. El software para descifrar contraseñas, como John the Ripper, Cain y Abel, son utilidades populares para estos ataques, pero hay muchos otros ".
En este caso, los phishing son bastante convincentes, pero no hay indicios del peligro que se esconde detrás de ellos. Por un lado, la dirección "de" del correo electrónico claramente no es legítima, y tampoco lo es la URL, ambas con dominios que no están relacionados con spotify.com oficial.
También dijo que los atacantes con mayor habilidad conocen y entienden los algoritmos de aprendizaje automático, que podrían marcar un mensaje clonado desde un servicio legítimo. Los actuales ataques de malware Gozi / Ursnif / Dreambot, por ejemplo, actualmente lo hacen respondiendo a conversaciones legítimas anteriores que un usuario ha tenido con un contacto conocido.
"Ellos desarrollan sus propios ataques basados en esta tecnología", dijo. "Es mucho más difícil falsificar la información de origen y encabezado del mensaje de una fuente legítima, sin embargo, las comprobaciones de verificación del remitente se eluden rutinariamente".
Los investigadores de AppRiver detectaron la ofensiva a principios de este mes, en una campaña que busca comprometer a los clientes de Spotify mediante el uso de mensajes falsos, pero convincentes, con el propósito de secuestrar la cuenta del propietario.
Los correos electrónicos intentan engañar a los usuarios para que hagan clic en un enlace de phishing que los redirija a un sitio web engañoso. Una vez en el sitio, se les pidió a los usuarios que ingresaran su nombre de usuario y contraseña, donde irían directamente al repositorio de los atacantes.
Obviamente, las credenciales podrían ser útiles si la víctima las ha reutilizado en otros sitios de mayor valor, como la banca en línea. Sin embargo, más allá de vender las credenciales en la DarkWeb, "saber una sola contraseña para una víctima abre la puerta a una multitud de vectores de ataque", dijo David Pickett, analista de ciberseguridad de AppRiver, a Threatpost.
Por ejemplo, el uso de un término como Fluffy84 podría decirle a un atacante que la víctima ama a su gato, y que potencialmente nació en 1984, junto con el formato que podrían usar para crear otras contraseñas.
"Esa información de cumpleaños se pudo verificar mediante búsquedas de datos de personas en línea (Pipl, Wink, PeekYou, etc.) y condujo a descubrir todos los nombres de animales y fechas importantes en su vida", dijo. "Las plataformas de medios sociales hacen que este reconocimiento sea extremadamente simple y valioso".
Además, la información obtenida se puede ingresar fácilmente en un cracker de contraseñas para generar contraseñas potenciales para un ataque de contraseña híbrida.
"Esto está utilizando muchas posibilidades de contraseña únicas asociadas al objetivo de esta información recopilada específica para su vida", nos dijo Pickett. “Su lista de reproducción de Spotify podría encajar en la ecuación aquí si descubriera que disfrutaron de un tema o artistas en particular. El software para descifrar contraseñas, como John the Ripper, Cain y Abel, son utilidades populares para estos ataques, pero hay muchos otros ".
En este caso, los phishing son bastante convincentes, pero no hay indicios del peligro que se esconde detrás de ellos. Por un lado, la dirección "de" del correo electrónico claramente no es legítima, y tampoco lo es la URL, ambas con dominios que no están relacionados con spotify.com oficial.
También dijo que los atacantes con mayor habilidad conocen y entienden los algoritmos de aprendizaje automático, que podrían marcar un mensaje clonado desde un servicio legítimo. Los actuales ataques de malware Gozi / Ursnif / Dreambot, por ejemplo, actualmente lo hacen respondiendo a conversaciones legítimas anteriores que un usuario ha tenido con un contacto conocido.
"Ellos desarrollan sus propios ataques basados en esta tecnología", dijo. "Es mucho más difícil falsificar la información de origen y encabezado del mensaje de una fuente legítima, sin embargo, las comprobaciones de verificación del remitente se eluden rutinariamente".
