Muchas empresas ahora están externalizando sus esfuerzos de marketing a proveedores de gestión de relaciones con el cliente (CRM por sis siglas en inglés) basados en la nube. Pero cuando las cuentas de esos proveedores de CRM son pirateadas o suplantadas, los resultados pueden ser perjudiciales tanto para la marca del cliente como para sus clientes. Aquí hay un vistazo a una reciente campaña de phishing basada en CRM dirigida a clientes del proveedor de equipos de construcción Fortune 500, United Rentals.
United Rentals [ NYSE: URI ], con sede en Stamford, Ct., Es la compañía de alquiler de equipos más grande del mundo, con unos 18,000 empleados y ganancias de aproximadamente $ 4 mil millones en 2018. El 21 de agosto, varios clientes de United Rental informaron haber recibido correos electrónicos con facturas truqueadas, conteniendo enlaces que llevaron a una descarga de malware para cualquiera que haya hecho clic.
Si bien las facturas falsas son un atractivo de malware común, esta campaña en particular envió a los usuarios a una página en el sitio web de United Rentals (unitedrentals.com).
En un aviso a los clientes, la compañía dijo que United Rentals no envió mensajes no autorizados. Una fuente que tenía al menos dos empleados que cayeron en el esquema envió a KrebsOnSecurity una respuesta de la división de privacidad de UR, que culpó del incidente a un socio publicitario externo.
«Según el conocimiento actual, creemos que una parte no autorizada obtuvo acceso a una plataforma de proveedores que United Rentals utiliza en relación con el diseño y la ejecución de campañas de correo electrónico«, decía la respuesta.
«La parte no autorizada pudo enviar un correo electrónico de phishing que parece ser de United Rentals a través de esta plataforma«, continuó la respuesta. “El correo electrónico de phishing contenía enlaces a una supuesta factura que, si se hace clic en ella, podría enviar malware al sistema del destinatario. Mientras nuestra investigación continúa, actualmente no tenemos ninguna razón para creer que haya un acceso no autorizado a los sistemas de United Rentals utilizados por los clientes, ni a ningún sistema interno de United Rentals «.
United Rentals le dijo a KrebsOnSecurity que su investigación hasta el momento no revela ningún compromiso de sus sistemas internos.
«En este punto, creemos que se trata de un incidente de phishing por correo electrónico en el que un tercero no autorizado utilizó un sistema de terceros para generar una campaña de correo electrónico para entregar lo que creemos que es un troyano bancario», dijo Dan Higgins , jefe de información de UR oficial.
United Rentals no nombraría a la empresa de marketing de terceros que se cree que está involucrada, pero las búsquedas pasivas de DNS en el subdominio UR a las que se hace referencia en el correo electrónico de phishing (utilizado por UL para marketing desde 2014 y visible en la captura de pantalla anterior como «wVw.unitedrentals.com» ) señala a Pardot, una división de marketing por correo electrónico del gigante de CRM en la nube, Salesforce.
Las empresas que usan CRM basados en la nube a veces dedicarán un dominio o subdominio que poseen específicamente para su uso por parte de su proveedor de CRM, permitiendo que el CRM envíe correos electrónicos que parecen provenir directamente de los propios dominios del cliente. Sin embargo, en tales configuraciones, el contenido que se promueve a través del dominio del cliente en realidad está alojado en los sistemas del proveedor de CRM en la nube.
Salesforce no respondió a múltiples solicitudes de comentarios a KrebsOnSecurity. Según Krebs, parece probable que alguien en Pardot con acceso a la cuenta de United Rental haya sido robado, hackeado o tal vez culpable de la reutilización de la contraseña.
Este ataque se produce inmediatamente después de otra campaña de phishing dirigida que aprovecha Pardot y que fue documentada a principios de este mes por Netskope , una empresa de seguridad en la nube. Ashwin Vamshi de Netskope dijo que los usuarios de plataformas CRM en la nube tienen un alto nivel de confianza en el software porque ven los datos y los enlaces asociados como internos, a pesar de que están alojados en la nube.
«Un gran número de empresas proporciona a sus proveedores y socios acceso a su CRM para cargar documentos como facturas, pedidos de compra, etc. (y a menudo estos ocurren como flujos de trabajo automatizados)«, escribió Vamshi. “La empresa no tiene control sobre el dispositivo del proveedor o socio y, lo que es más importante, sobre los archivos que se cargan desde ellos. En muchos casos, los archivos cargados por el proveedor o el socio llevan consigo un alto nivel de confianza implícita «.
Los cibercriminales se dirigen cada vez más a los proveedores de CRM en la nube porque las cuentas comprometidas en estos sistemas se pueden aprovechar para realizar ataques de phishing extremadamente específicos y convincentes. De acuerdo con las estadísticas más recientes (PDF) del Grupo de trabajo contra la suplantación de identidad (phishing) , los proveedores de software como servicio (incluidos los proveedores de CRM y Webmail) fueron el sector industrial más focalizado en el primer trimestre de 2019, representando el 36 por ciento de todos los ataques de phishing.
*** Este es un blog sindicado de Krebs sobre seguridad creado por BrianKrebs. Lea la publicación original en: https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/