Una enorme campaña de phishing aprovechó un punto ciego de seguridad en los sistemas de filtrado de correo electrónico de Proofpoint para enviar una media de tres millones de mensajes «perfectamente falsificados» al día que pretendían ser de Disney, IBM, Nike, Best Buy y Coca-Cola, todos ellos clientes de Proofpoint. En lo que respecta a las víctimas, recibían correos electrónicos reales de grandes corporaciones, con firmas de Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) debidamente autenticadas, lo que indicaba a los usuarios y a sus aplicaciones de correo electrónico que los mensajes eran legítimos y fiables. Los correos electrónicos falsos, por ejemplo, intentaban convencer a las víctimas de que hicieran clic en sitios maliciosos que intentarían suplantar los datos de sus tarjetas de crédito diciéndoles que podían renovar una suscripción en línea por un precio muy, muy bajo. A las personas que escribían los datos de su tarjeta se les facturaba de hecho más de 100 veces esa cantidad al mes, sin recibir nada a cambio. La campaña de spam se desarrolló entre enero y junio y, en las horas pico, alcanzó los 14 millones de correos electrónicos sospechosos en un período de 24 horas, según Guardio Security, que notificó al fabricante de herramientas de seguridad Proofpoint en mayo sobre la debilidad explotable y ayudó con los esfuerzos de mitigación posteriores. Guardio denominó la campaña EchoSpoofing, porque el spam se «reproducía» desde servidores de retransmisión de correo electrónico propiedad de Proofpoint y operados por él mismo. Proofpoint, que dijo haber detectado la campaña de spam a fines de marzo, admitió que los malhechores abusaron de «una pequeña cantidad» de las cuentas de Microsoft 365 de sus clientes y agregó: «Este problema no expuso ningún dato de cliente de Proofpoint y ningún cliente experimentó pérdida de datos como resultado». Los spammers abusaron de una función de enrutamiento de correo electrónico de Proofpoint insegura por defecto para enviar mensajes con firmas SPF y DKIM válidas de las principales corporaciones a través de los relés de correo electrónico de Proofpoint. Las grandes organizaciones como Disney utilizan Microsoft 365 para gestionar su correo, pero enrutan los mensajes entrantes y salientes a través de los sistemas de Proofpoint, que actúan como un filtro de seguridad. Fundamentalmente, la configuración de Disney, con su filtrado de Proofpoint, garantizaba que el correo saliente a través de Proofpoint apareciera ante los destinatarios como si viniera oficialmente de Disney con todas las firmas SPF y DKIM correctas agregadas. Este es el nivel de confianza del que abusaron los spammers para enviar todos esos mensajes de apariencia legítima. En pocas palabras, los malhechores solo necesitaban enviar correo no deseado desde uno o más servidores SMTP fraudulentos y hacer que se reenviara a través de sus propias cuentas de inquilino de Microsoft 365 a Proofpoint. Todo ese correo en ese punto sería falsificado de manera burda y poco convincente para que pareciera que provenía, por ejemplo, de Disney. No importaba que estos mensajes falsos fueran obviamente falsos y se originaran en servidores que no eran de Disney: Proofpoint los vería llegar desde Microsoft 365, pensaría que los mensajes realmente provenían de Disney y luego haría eco de los correos electrónicos con todas las firmas de seguridad correctas agregadas a los destinatarios de spam. Diagrama de flujo del ataque EchoSpoof completo… Fuente: Guardio – Haga clic para ampliar ¿Por qué Proofpoint permitiría que sucediera algo así? Porque sus clientes afectados habían habilitado la integración de Microsoft 365 con el servicio de filtrado de Proofpoint, pero no habían bloqueado exactamente quién podía enviar correos electrónicos a través de ese producto como ellos. Como lo expresó Proofpoint: O como explicó Guardio, la función de enrutamiento no era segura de forma predeterminada, necesitaba algunos ajustes para apuntalarla, y los clientes de Proofpoint no se dieron cuenta de esto. «Hay formas de agregar reglas específicas a [your] Proofpoint ha decidido evitar este y otros tipos de suplantación de identidad filtrando manualmente los correos electrónicos de fuentes desconocidas y otros encabezados y propiedades específicos. «Sin embargo, este proceso es completamente manual y requiere reglas personalizadas, scripts y mantenimiento… La mayoría de los clientes no eran conscientes de ello en primer lugar, y la opción predeterminada no era segura en absoluto». Para solucionar este problema, Proofpoint afirmó que revisó su sistema de configuración: se enviaron millones de mensajes de spam a usuarios de Yahoo, Gmail, GMX.com y otros. Y según Guardio, se originaron en servidores privados virtuales alojados principalmente en la nube francesa OVH y administrados con el software de entrega de correo electrónico PowerMTA. Proofpoint, en su análisis de la campaña, publicó una lista de inquilinos de Microsoft utilizados por los spammers para reenviar mensajes de retransmisión. «En el momento de la publicación de este blog, muchos siguen activos», advirtió el proveedor de seguridad de correo electrónico, señalando que ha tomado medidas para bloquear automáticamente los intentos de esas cuentas de retransmitir a través de sus servidores. ®