Los cibercriminales están abusando de los servicios legítimos de protección de URL para disfrazar enlaces de phishing maliciosos, según han revelado los investigadores de Barracuda. ​​La empresa observó campañas de phishing que utilizaban tres servicios de protección de URL diferentes para enmascarar las URL de phishing y enviar a las víctimas a sitios web diseñados para recopilar sus credenciales. Los investigadores creen que estas campañas han tenido como objetivo a cientos de empresas hasta la fecha, si no más. Los servicios de protección de URL están diseñados para proteger a los usuarios de visitar sitios web maliciosos a través de un enlace de phishing. Siempre que se incluye una URL en un correo electrónico, el servicio la copia, la reescribe y luego incrusta la URL original dentro de la reescrita. Si el destinatario del correo electrónico hace clic en este enlace «envuelto», se activa un análisis de seguridad de correo electrónico de la URL original. Si el análisis es limpio, el usuario es redirigido a la URL. Si no, se le bloquea la entrada a la URL original. Cómo se explotan los servicios de protección de URL En estos nuevos ataques, los actores de amenazas obtienen acceso al servicio de protección de URL a través de cuentas comprometidas y lo aprovechan para reescribir sus propias URL de phishing, ocultando así su naturaleza maliciosa, esencialmente volviendo el servicio contra sí mismo. Esto les permite hacerse pasar por los propietarios de las cuentas e infiltrarse y examinar sus comunicaciones por correo electrónico, así como enviar correos electrónicos desde la cuenta comprometida. Esta táctica se conoce como secuestro de conversaciones. Además, los actores de amenazas podrán determinar si se está utilizando un servicio de protección de URL analizando los enlaces en los correos electrónicos conectados a la cuenta o en la firma de correo electrónico del usuario. Para aprovechar la protección de URL para reescribir sus propias URL de phishing, los investigadores señalaron que los atacantes necesitarían tener acceso a los sistemas internos para reescribir la URL de phishing, lo que es «extremadamente raro», o, lo que es más probable, enviar un correo electrónico saliente a sí mismos utilizando las cuentas comprometidas, con el enlace de phishing incluido en el mensaje. Al entregar ese mensaje, el servicio de protección de URL instalado por la organización del usuario reescribirá la URL de phishing utilizando su propio enlace de protección de URL. Esto permite al atacante utilizar ese enlace para ocultar URL maliciosas en sus correos electrónicos de phishing posteriores dirigidos a los empleados de esa organización. Los investigadores dijeron que los proveedores de protección de URL pueden no ser capaces de validar si la URL de redireccionamiento que está siendo utilizada por un cliente específico realmente está siendo utilizada por ese cliente o por un intruso que ha tomado el control de la cuenta. El aprovechamiento de los servicios de protección de URL podría ser intencional u oportunista, según Barracuda. ​​Atacantes que eluden los controles de seguridad comunes Barracuda señaló que muchas herramientas de seguridad de correo electrónico tradicionales no podrán detectar estas tácticas novedosas, mientras que el aprovechamiento de marcas de seguridad confiables tiene más probabilidades de dar a los usuarios una falsa sensación de seguridad y hacer clic en el enlace malicioso. La nueva investigación sigue otras formas observadas en que los actores de amenazas están eludiendo los controles de seguridad tradicionales para mejorar las campañas de phishing. Estos incluyen el uso creciente de ataques de quishing: mensajes de phishing que utilizan un código QR para dirigir a los objetivos a sitios web maliciosos en lugar de URL. Este enfoque aumenta la probabilidad de que un destinatario use un dispositivo personal fuera de la protección web o antivirus de una organización para acceder al sitio web malicioso. Otra táctica observada es aprovechar la infraestructura de servicios legítimos populares para realizar campañas de phishing, lo que dificulta que las herramientas de seguridad distingan los correos electrónicos maliciosos o benignos de ese servicio.