Cada día se envían millones de correos electrónicos perfectamente falsificados, ya que los piratas informáticos se aprovechan de una falla en el servicio de protección de correo electrónico de Proofpoint. Una investigación realizada por los investigadores de Guardio Labs, en colaboración con Proofpoint, descubrió que los ataques de phishing suplantaban marcas como Disney, Nike y Coca-Cola, en un intento de robar fondos y detalles de tarjetas de crédito. Cómo se explotó el servicio de protección de correo electrónico de Proofpoint Los cibercriminales explotaron una configuración modificable que permitía retransmitir mensajes salientes desde Microsoft Office365. Esto les permitió crear correos electrónicos que imitaban los relés de correo electrónico oficiales de Proofpoint con firmas autenticadas de Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM), pasando así las protecciones de seguridad del correo electrónico. Guardio denominó esta técnica ‘echospoofing’, ya que Proofpoint «hizo eco» de los correos electrónicos falsificados y los envió como un correo electrónico completamente genuino. Desde que comenzó la actividad en enero de 2024, Guardio estimó que se ha enviado un promedio diario de tres millones de correos electrónicos perfectamente falsificados utilizando el método, con algunos picos que alcanzaron una cantidad diaria de 14 millones. Los ataques no se han atribuido a una entidad conocida hasta la fecha. Desde entonces, Proofpoint ha adaptado sus procesos de configuración predeterminados para ayudar a sus clientes a mitigar este riesgo. En un ejemplo de un correo electrónico de phishing que pretendía ser de Disney+, los atacantes utilizaron un correo electrónico de notificación de cuenta de Disney+ falsificado enviado desde el dominio real disney.com. Respuesta y acción de Proofpoint Guardio dijo que colaboró ​​​​con Proofpoint para identificar y rastrear la operación. Luego, Proofpoint lanzó un programa de divulgación integral para notificar a los clientes afectados a través de mensajes automatizados y contacto directo con sus equipos de soporte e ingenieros. Proofpoint afirmó que observó por primera vez campañas de spam que se retransmitían desde inquilinos de Microsoft 365 a través de las infraestructuras de correo electrónico de varios clientes empresariales de Proofpoint en marzo de 2024. La empresa describió el problema como una «configuración modificable que permitía que los mensajes salientes se retransmitieran desde Microsoft 365». Enfatizó que los atacantes podrían explotar cualquier infraestructura de correo electrónico que permita que los mensajes se retransmitan desde los servicios de alojamiento de correo electrónico a través de su infraestructura utilizando la tecnología de suplantación de eco. Proofpoint escribió: «Alentamos a los proveedores de servicios de correo electrónico a limitar el poder de la prueba gratuita y los inquilinos no verificados recién creados para enviar campañas de correo electrónico saliente de gran volumen, especialmente cuando se retransmiten a través de otros proveedores. Los proveedores de servicios de correo electrónico también deben evitar que sus inquilinos clientes envíen mensajes salientes que falsifiquen un dominio para el que no han demostrado ser propietarios. Frenar el abuso en la fuente de envío de mensajes es la forma más eficaz de reducir el spam». Proofpoint agregó que ha implementado varias medidas para evitar la retransmisión no autorizada a través de los servidores de Proofpoint. Esto incluye la implementación de una mejora que está disponible para todos los usuarios, que permite a los clientes aprobar inquilinos y monitorear fácilmente cualquier signo de mal uso.