FBI alerta sobre hackers iraníes que atacan cuentas personales
Funcionarios de alto rango, actuales o anteriores, periodistas, activistas, cabilderos y personal de alto nivel de think tanks son todos objetivos de actores de amenazas cibernéticas que trabajan en nombre del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) del Gobierno de Irán.
Tras la acusación que implica a ciudadanos iraníes en una conspiración de hacking de gran alcance, el Buró Federal de Investigaciones (FBI) publicó un aviso destacando cómo los actores de amenazas iraníes eligen y atacan a sus víctimas.
Los actores de amenazas patrocinados por el IRGC dependen en gran medida de una amplia gama de técnicas de ingeniería social para obtener acceso a cuentas personales y empresariales.
A menudo se hacen pasar por contactos profesionales a través de correo electrónico o plataformas de mensajería, conocidas como proveedores de servicios de correo electrónico, para solicitar información de seguridad sensible del usuario. A menudo intentan construir conversaciones y confianza antes de solicitar a las víctimas que accedan a un documento a través de un hipervínculo, redirigiéndolas a una página de inicio de sesión de correo electrónico falsa utilizada para la recolección de credenciales.
Cybernews ha informado previamente sobre phishers iraníes que se hacían pasar por podcasters para atacar a una destacada figura religiosa judía.
Aunque el IRGC a menudo ataca a víctimas con vínculos con asuntos iraníes y de Medio Oriente, recientemente el FBI ha observado a actores de amenazas atacando a personas asociadas con campañas políticas estadounidenses.
“Las víctimas pueden ser solicitadas para ingresar códigos de autenticación de dos factores, proporcionarlos a través de una aplicación de mensajería o interactuar con notificaciones telefónicas para permitir el acceso a los actores cibernéticos. Las víctimas a veces obtienen acceso al documento pero pueden recibir un error de inicio de sesión”, explica el aviso del FBI.
Las amenazas iraníes hacen su tarea antes de elegir tácticas de ingeniería social. Algunos de los intentos anteriores incluyeron:
- Suplantaciones de individuos conocidos, asociados y/o familiares.
- Suplantaciones de proveedores de servicios de correo electrónico conocidos sobre la configuración de la cuenta.
- Solicitudes de entrevistas de cuentas de suplantación de periodistas conocidos.
- Invitaciones a conferencias.
- Solicitudes de compromisos de oradores.
- Eventos de embajadas.
- Discusiones y opiniones sobre política exterior y revisiones de artículos.
- Campañas y elecciones actuales en EE.UU.
Un compromiso exitoso a menudo es seguido por inicios de sesión sospechosos en las cuentas de las víctimas desde direcciones IP extranjeras o nacionales, la creación de reglas de manejo de mensajes para reenviar correos electrónicos y la prevención de que las víctimas reciban notificaciones de compromiso. Los hackers conectan dispositivos, aplicaciones o cuentas desconocidas a las cuentas de las víctimas, exfiltran y eliminan los mensajes, e intentan acceder a otras cuentas.
Para parecer legítimos, los actores cibernéticos crean dominios maliciosos que se asemejan a instituciones reales. En el pasado, utilizaron sitios web como atlantic-council[.]com, bitly[.]org[.]il, daemon-mailer[.]com y muchos otros.
El FBI y otras autoridades recomiendan medidas de precaución adaptadas para reconocer intentos de ingeniería social y suplantación: sean sospechosos de cualquier contacto no solicitado, enlaces, especialmente acortados (como bit.ly o tinyurl), archivos e imitaciones de servicios legítimos.
El aviso incluye medidas de mitigación propuestas a nivel empresarial, como la capacitación del usuario, los controles de seguridad del correo electrónico y la autenticación multifactor.