Navegando por el Sistema Postal Digital
Los registros de Mail Exchange, o registros MX, son una forma pública de indicar el servidor de correo responsable de recibir y enviar mensajes. Vea esto como una dirección pública, similar a cómo en una vasta red de carreteras, los correos electrónicos son vehículos que viajan a sus destinos, guiados por un mapa conocido como Registros MX.

Hemos analizado los registros MX en el contexto de puertas de enlace seguras. Al implementar un Secure Email Gateway, debe cambiar el registro MX al de la puerta de enlace, esencialmente actualizando este "mapa" para redirigir el correo para una evaluación adicional. Esta información está disponible públicamente en sitios como MXToolbox.

Dependiendo de la configuración de la empresa, el registro MX puede apuntar a un SEG o puede mostrar el registro MX predeterminado para el servicio de correo electrónico que están utilizando. Check Point usa Microsoft 365 para el correo electrónico.

Esta es información pública. Y hemos notado las preocupaciones acerca de que los piratas informáticos utilicen esta información, particularmente para atacar organizaciones con puertas de enlace. Ahora, los investigadores de Check Point Harmony Email creen que estamos viendo piratas informáticos que utilizan esta información para atacar específicamente a empresas que utilizan Google.

El ataque específico
En el ataque específico que se menciona a continuación, el primer paso que dio el malhechor fue dirigir su ataque basado en facturas a través de un espacio de trabajo ficticio de Microsoft 365.

En más de 100 ejemplos del ataque, los investigadores de Harmony Email vieron que Microsoft calificó este ataque como spam inofensivo. Después de dejar Microsoft, Google lo consideró limpio. Ninguno de los dos fueron clasificados como spam o phishing.

Ejemplo de correo electrónico
El correo electrónico comienza como una factura falsa. Los analistas de Harmony Email notaron que O365 lo había “marcado como spam”. Dado que se trata del entorno de Google que está siendo atacado, parecía sospechoso que HEC detectara los marcadores de un entorno de Microsoft durante los análisis del correo electrónico.

Tras una inspección más detallada, notamos que el destinatario original del mensaje es una ID de correo electrónico ficticio con un dominio que termina en la dirección onmicrosoft.com. Después de que el ataque llega a esa bandeja de entrada, Microsoft lo marca como spam y luego lo envía al entorno de Gmail de nuestra víctima prevista. Lo que están haciendo los actores de amenazas es enrutar el correo electrónico a través de un inquilino M365 falso que tiene un reenvío automático o un reenvío BCC a la organización. Aunque Microsoft marcó esto como spam, Gmail lo reenvió automáticamente y lo marcó como limpio.

Los investigadores de Harmony Email & Collaboration se pusieron en contacto con Microsoft y Google. Google señaló que “esto no es un problema de Gmail, es un ataque ascendente de reproducción DKIM/mapa de direcciones. Hemos visto este ataque antes, incluidos casos como este en el que se aprovecharon los problemas de autenticación ascendente. Afortunadamente, nuestra detección de anomalías y protecciones basadas en IA detectó esta actividad maliciosa”
Técnicas
Los atacantes aquí se han dirigido específicamente a los clientes de Gmail. En lugar de enviar correos electrónicos directamente al inquilino de Gmail, primero enrutan el mensaje a través de Microsoft. Este ataque hace una serie de cosas interesantes. El atacante sabía que esta organización usaba Gmail y, como mencionamos, puede encontrarlo fácilmente usando MXLookup. Luego pueden dirigir el ataque en consecuencia. En este caso, la experiencia del mal actor dictaba que dirigir sus ataques a través de un entorno M365 ficticio, aumentaría las posibilidades de que su ataque eludiera la seguridad de su entorno objetivo. Tenía razón, ya que Google marcó esta campaña como limpia más de 100 veces.

Comprender los saltos de transporte de un correo electrónico es fundamental. Profundizar en los datos de transporte para recoger los resultados de seguridad que informaron los saltos anteriores, independientemente de su inquilino de correo, proporciona información adicional sobre las detecciones.
Google señaló que, “como defensa adicional, estamos liderando la tarea de que todo el ecosistema de correo electrónico siga las mejores prácticas de autenticación que ayudarán a frustrar esta clase de ataques. En este caso, implementar ambos requisitos habría evitado este ataque:

• Configure la autenticación de correo electrónico SPF y DKIM para su dominio
• Para correo directo, el dominio en el encabezado del remitente debe estar alineado con el dominio SPF o el dominio DKIM. Esto es necesario para pasar la alineación DMARC”.

Mejores prácticas: orientación y recomendaciones
Para protegerse contra estos ataques se puede hacer lo siguiente:

• Implementar seguridad que utilice IA para observar múltiples indicadores de phishing.
• Implementar seguridad que no aparece a través de MX Lookup
• Implementar seguridad que comprenda todos los saltos de transporte para ver el contexto completo del correo electrónico.

Conclusión: un llamado a las armas en la era digital
« Esta historia de astucia digital subraya la batalla en curso en el ciberespacio, donde atacantes y defensores evolucionan constantemente sus estrategias. Para los usuarios cotidianos de correo electrónico, es un recordatorio de las guerras invisibles que se libran en el fondo de nuestras comunicaciones diarias, destacando la importancia de las medidas de seguridad avanzadas y la vigilancia en la era digital. Concluye Jeremy Fuchs, Cybersecurity Researcher/Analyst Check Point Software LTD »