Prevenir Ataques Phishing en Office 365

Prevenir Ataques Phishing en Office 365

Recientemente ha habido muchos ataques phishing contra cuentas de Office 365 (Microsoft 365 en general). Este articulo muy interesante describe el ataque.

Para prevenir este tipo de ataque es muy recomendable activar la verificación en dos pasos, llamada también autenticación doble-factor o doble-autenticación. En este artículo explicaremos cómo activar esta protección en Office 365.

El ataque de tipo Phishing

El phishing es una suplantación de identidad. El ataque consiste en engañar al usuario para que revele información personal (número de tarjetas de crédito, contraseña, etc.) mediante el envío de correos electrónicos fraudulentos o dirigiéndole a una página web falsa, que parecen auténticos.

En el ataque a cuentas de Office 365 que nos han reportado, los correos tienen un formato que llama un poco la atención, entonces es bastante fácil de detectar, aunque no haya llegado a la carpeta de SPAM:

Microsoft Office 365 phising email

Pero la página a la que redirigen se parece mucho a la de Microsoft:

Microsoft Office 365 Phising Page

De hecho, la propia url o tiene un formato que parece legítimo.

Entonces es bastante fácil que un usuario caiga en la trampa.

¡Ayuda, nos han atacado!

Si habéis sufrido un ataque de tipo phishing, tenéis que parar el ataque y luego analizar cuál ha sido el impacto.

  1. lo primero que tenéis que hacer es cambiar las contraseñas de todos los usuarios de vuestro tenant Office 365. A partir de este momento ya no podrán seguir entrando a vuestra plataforma con la identidad robada.
  2. una vez actualizadas las contraseñas, debéis activar la verificación en dos pasos como lo explicamos a continuación. Esto es para prevenir futuros ataques.
  3. luego tenéis que analizar cuál ha sido el impacto del ataque, desde el Security & Compliance Center de Microsoft 365:
    • identificar las cuentas corrompidas, analizando los registros de conexión de Office 365 desde la administración de Azure Active Directory.
    • identificar los tipos de acceso que han realizado estas cuentas, para detectar un posible robo de información en OneDrive o SharePoint Online.
    • identificar los archivos subidos por este usuario para detectar posibles archivos infectados que pueden desencadenar otro tipo de ataque en el futuro (virus, ransomware, etc.)
    • sacar un registro de correos enviados por la(s) cuenta(s) corrompida(s), para identificar correos malintencionados enviados a través de estas cuentas y avisar a los destinatarios de aquellos correos.
    • identificar el correo de phishing a raíz del ataque, buscando por remitentes sospechosos.

Cómo prevenir este tipo de ataque

1. Aspecto humano

Como siempre es muy importante concienciar a los usuarios finales del riesgo que corren cada vez que abren un correo sospechoso.
En concreto, tendrían que:

  • Saber identificar el email original del remitente, muchas veces oculto en los correos fraudulentos.
  • Comprobar si es la primera vez que reciben un correo de esta persona.
  • Verificar que el contenido del email tiene un formato y estilo que corresponde a la empresa que se supone que lo envía.
  • Comprobar si el correo tiene varias faltas de ortografía y/o está escrito de una manera extraña (la mayoría de los emails los redactan en ingles y luego los traducen automáticamente).

2. Autenticación doble-factor

Si un usuario no sigue las recomendaciones descritas anteriormente, es fácil que caiga en la trampa. Entonces para que el ataque no tenga efecto, hay que activar la verificación en dos pasos.
La doble-autenticación es una segunda verificación que ocurre después de que el usuario introduzca su contraseña. En Office 365 se hace mediante una de las verificaciones siguientes:

  • Envío de un mensaje de texto a un móvil (SMS)
  • Llamada a un teléfono
  • Notificación enviada a la app Microsoft Authenticator (disponible para Android o Apple)

Con esta verificación adicional, aunque haya robado una contraseña, un atacante no podrá acceder a Office 365 sin tener el móvil del usuario.

Activar la verificación en dos pasos en Office 365

Este servicio está disponible sin coste adicional para todos los planes de Office 365.

Para activarlo, desde el portal de administración de Microsoft 365, acceder al portal de Azure Active Directory:

Microsoft Office 365 admin center

Desde Azure Active Directory, seleccionar Users y Multi-Factor Authentication:

Azure Active Directory users

En la siguiente pantalla seleccionar todos los usuarios y activar la autenticación doble factor:

Azure AD multi-factor authentication

NOTA: el proceso a seguir es distinto si los usuarios de Office 365 están sincronizados con Active Directory.

Para obtener más información, no dudéis en contactar con nosotros a través del siguiente formulario:

Este sitio está protegido por reCAPTCHA y se aplican las Políticas de Privacidad y las Condiciones de Servicio de Google.
Next Post