- Los atacantes explotan al personal de la mesa de ayuda para obtener acceso a sistemas de nómina no autorizados
- La ingeniería social permite a los piratas informáticos redirigir los cheques de pago de los empleados sin activar una alerta
- Dirigirse a cheques de pago individuales mantiene los ataques bajo el radar corporativo y de las fuerzas del orden.
Los sistemas de nómina son cada vez más el objetivo de los ciberdelincuentes, especialmente durante los períodos en los que se esperan bonificaciones y pagos de fin de año.
Okta Threat Intelligence informa que los atacantes se centran menos en romper la infraestructura y más en explotar los procesos humanos que rodean el acceso a la nómina.
En lugar de implementar ransomware o campañas masivas de phishing, estos actores pretenden desviar silenciosamente el pago personal manipulando los flujos de trabajo de recuperación de cuentas.
La mesa de ayuda aparece como el eslabón débil
Al rastrear una campaña conocida como O-UNC-034, Okta informó que los atacantes estaban llamando directamente al servicio de asistencia corporativa.
Haciéndose pasar por empleados legítimos, se basan en la ingeniería social en lugar de en exploits técnicos para solicitar restablecimientos de contraseñas o cambios de cuentas.
Estas convocatorias han afectado a organizaciones de los sectores educativo, manufacturero y minorista, lo que indica que ninguna industria es el foco.
Una vez que se concede el acceso, los atacantes intentan registrar su propio método de autenticación para mantener el control sobre la cuenta comprometida.
Después de apoderarse de la cuenta de un empleado, los atacantes rápidamente pasan a plataformas de nómina como Workday, Deforce HCM y ADP.
Cambian los datos bancarios para que los próximos pagos se redireccionen a otra parte, a menudo sin detección inmediata.
Dado que el robo tiene como objetivo cheques de pago personales, la pérdida financiera puede parecer pequeña cuando se la considera de forma aislada.
Esto reduce la probabilidad de una rápida escalada o atención de las autoridades.
A escala, este enfoque puede generar grandes beneficios y permitir el robo de identidad sin activar las alarmas asociadas con violaciones importantes.
Los analistas de amenazas sugieren que el robo de salario personal es menos obvio que las grandes filtraciones de datos o las campañas de extorsión.
Los atacantes pueden refinar aún más los objetivos a través de una recuperación temprana, centrándose en personas con altos ingresos o empleados programados para recibir una indemnización por despido.
Las campañas anteriores se basaban en publicidad maliciosa y phishing de credenciales, pero el cambio hacia interacciones telefónicas en vivo refleja técnicas que eluden por completo las defensas técnicas.
Las herramientas antivirus ofrecen poca protección cuando los atacantes aceptan voluntariamente credenciales durante una conversación confiable.
De manera similar, las herramientas de eliminación de malware, aunque son relevantes para otras amenazas, no abordan esta clase de ataque.
Las pautas de seguridad enfatizan procedimientos estrictos de verificación de identidad para el personal de soporte que maneja las solicitudes de recuperación de cuentas.
Se recomienda al personal de la mesa de ayuda de primera línea que no cambie los factores de autenticación directamente y, en su lugar, emita códigos de acceso temporales solo después de que las comprobaciones de identidad sean exitosas.
También se alienta a las organizaciones a limitar el acceso a aplicaciones confidenciales en dispositivos administrados y someter a un mayor escrutinio las solicitudes que se originan en ubicaciones o redes inusuales.
“Es interesante ver que los estafadores de nómina se están uniendo a grupos de actores de amenazas que apuntan a los profesionales de la mesa de ayuda para acceder a las cuentas de los usuarios”, dijo Brett Winterford, vicepresidente de inteligencia de amenazas de Okta.
“Esta situación subraya la importancia de brindarle al personal de soporte de TI las herramientas que necesita para verificar la identidad de quienes llaman entrantes y brindarles opciones de recuperación de cuenta que limiten la capacidad de una persona que llama de manera deshonesta de hacerse cargo de su cuenta”.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
