Cuentas de correo electrónico del NHS secuestradas para campaña de phishing

Más de 130 cuentas de correo electrónico del NHS fueron secuestradas para una operación de phishing de recolección de credenciales dirigida a usuarios de Microsoft, aunque se desconoce el verdadero alcance del ataque.

Durante la campaña de phishing, que comenzó en octubre de 2021 y se intensificó drásticamente en marzo de 2022, la plataforma de seguridad basada en la nube Inky detectó 1157 correos electrónicos de phishing que se originaron en NHSMail, que se migró de una instalación local a Microsoft Exchange Online en febrero de 2021.

Todos los correos electrónicos de phishing pasaron la autenticación de correo electrónico para nhs.net y se enviaron desde dos direcciones IP utilizadas por el NHS, lo que confirmó que las dos direcciones eran repetidores dentro del sistema de correo utilizado para una gran cantidad de cuentas.

La mayoría de los correos electrónicos eran notificaciones de nuevos documentos falsos con enlaces maliciosos a sitios de recopilación de credenciales, que buscaban específicamente información de los usuarios de Microsoft 365.

Inky señaló que aunque los correos electrónicos de phishing se originaron en cuentas de correo electrónico pertenecientes a 139 empleados del NHS, el verdadero alcance del ataque podría haber sido mucho mayor, ya que sus analistas de datos solo detectaron los intentos de phishing realizados en sus propios clientes.

Agregó que a pesar de que las 139 cuentas comprometidas representan “solo unas pocas diezmilésimas del uno por ciento del total” del número de cuentas, nhs.net sirve a decenas de millones de usuarios de correo electrónico individuales y proporciona infraestructura para alrededor de 27,000 organizaciones, lo que significa que este bajo número Todavía se podría esperar que produzca algunas cuentas nuevas comprometidas todos los días.

Más contenido para leer:  Adam Miller, jefe de grupo de TI, Markerstudy Group

“Quizás este es un momento para introducir la idea de que el phish puede ser como una fuga en el barco. No importa que el agujero sea pequeño, eventualmente hundirá el barco”, dijo en una publicación de blog.

“Incluso si solo pasan unos pocos correos electrónicos malos, con una carga útil lo suficientemente maliciosa, un solo ataque exitoso puede cambiar la vida. El NHS ha tenido suerte hasta ahora. La recolección de credenciales en sí misma es una patata pequeña. Pero, por supuesto, esas credenciales se pueden reciclar en ataques posteriores con resultados más peligrosos”.

Inky informó sus hallazgos iniciales al NHS el 13 de abril, que tomó medidas inmediatas, lo que llevó a una reducción significativa en el volumen de ataques al día siguiente. Para el 19 de abril, Inky dijo que en su mayoría había dejado de recibir informes de phishing del dominio del NHS.

Entre Inky y el NHS, se determinó que la violación no fue un servidor de correo comprometido, sino el resultado de cuentas secuestradas individualmente.

“Tenemos procesos para monitorear e identificar continuamente estos riesgos. Los abordamos en colaboración con nuestros socios que respaldan y brindan el servicio nacional NHSmail”, dijo el NHS en respuesta a los hallazgos de Inky.

“Las organizaciones del NHS que ejecutan sus propios sistemas de correo electrónico tendrán procesos y protecciones similares para identificar y coordinar sus respuestas, y solicitar la asistencia de NHS Digital, si es necesario”.

Además de la recopilación de credenciales y las cuentas secuestradas, los atacantes también usaron logotipos y marcas comerciales para hacerse pasar por marcas conocidas (incluidas Microsoft y Adobe) para que los correos electrónicos parecieran legítimos. Todos los correos electrónicos también tenían el pie de página del correo electrónico del NHS en la parte inferior.

Más contenido para leer:  Víctimas del escándalo de Correos contarán sus historias en público

En términos de mitigaciones, Inky dijo que los usuarios siempre deben verificar cuidadosamente la dirección de correo electrónico del remitente, así como examinar cualquier enlace al pasar el mouse sobre ellos.

“La mayoría de los correos electrónicos de esta campaña decían ser de Adobe o Microsoft, pero nhs[.]net no es un dominio de Adobe o Microsoft. Los enlaces en ellos tampoco pertenecían a estas organizaciones”, dijo.

“Los destinatarios también deben tener cuidado con las notificaciones de nuevos documentos desconocidos y negarse a responder o hacer clic en cualquier enlace en un correo electrónico de un remitente que nunca antes se ha puesto en contacto”.

NHS Digital relanzó su campaña de concientización sobre seguridad cibernética en octubre de 2021 para ayudar al personal de todo el servicio de salud a comprender más sobre las amenazas de seguridad actuales y cómo reducir el riesgo general de verse comprometido.

El kit de herramientas en línea se puede descargar de forma gratuita para ayudar a las organizaciones del sector de la salud a obtener más información sobre las prácticas de seguridad de “sentido común” y el impacto que una buena higiene de seguridad puede tener en la seguridad del paciente. Incluye orientación sobre cómo configurar contraseñas seguras, bloquear dispositivos cuando no están en uso y detectar y mitigar el phishing, las estafas por correo electrónico y los ataques de ingeniería social, entre otras cosas.

En los últimos años, varias solicitudes realizadas por terceros en virtud de la Ley de Libertad de Información han demostrado que el NHS ha visto una reducción en la cantidad de correos electrónicos de phishing que recibe, menos incidentes de ransomware y ha mejorado sus niveles de personal de seguridad. A fines de 2020, empleaba el doble de profesionales de seguridad internos que en 2018.

Más contenido para leer:  Estrategia cibernética del Reino Unido: una inyección de progreso bienvenida

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales