Conversation hijacking
¿Qué es Conversation hijacking?
Conversation hijackingAtaque de correo en el que un delincuente inserta respuestas maliciosas en un hilo de correo de confianza ya existente para entregar malware o instrucciones fraudulentas.
En el conversation hijacking el atacante primero compromete un buzon o roba un inbox mediante robo de credenciales, ATO o brecha en un socio. Despues lee los hilos en curso y responde dentro de ellos, heredando la confianza, el asunto y la firma del remitente legitimo. El mensaje inyectado puede traer malware (Emotet sembraba Trickbot via hilos secuestrados), una peticion de cambio de cuenta tipica del BEC, o un enlace de captura de credenciales. Como la respuesta aparece dentro de un intercambio existente, las victimas y los filtros tradicionales bajan la guardia. Defensas: DMARC, MFA en cuentas de correo, deteccion de anomalias en patrones de respuesta, etiquetas de remitente externo y confirmacion fuera de banda para cualquier cambio de pago.
● Ejemplos
- 01
Emotet 2018-2021: respuestas maliciosas a hilos en curso entregaban documentos Office armados.
- 02
Actores BEC secuestran el buzon de un proveedor e inyectan una respuesta falsa con cuentas bancarias actualizadas.
● Preguntas frecuentes
¿Qué es Conversation hijacking?
Ataque de correo en el que un delincuente inserta respuestas maliciosas en un hilo de correo de confianza ya existente para entregar malware o instrucciones fraudulentas. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Conversation hijacking?
Ataque de correo en el que un delincuente inserta respuestas maliciosas en un hilo de correo de confianza ya existente para entregar malware o instrucciones fraudulentas.
¿Cómo funciona Conversation hijacking?
En el conversation hijacking el atacante primero compromete un buzon o roba un inbox mediante robo de credenciales, ATO o brecha en un socio. Despues lee los hilos en curso y responde dentro de ellos, heredando la confianza, el asunto y la firma del remitente legitimo. El mensaje inyectado puede traer malware (Emotet sembraba Trickbot via hilos secuestrados), una peticion de cambio de cuenta tipica del BEC, o un enlace de captura de credenciales. Como la respuesta aparece dentro de un intercambio existente, las victimas y los filtros tradicionales bajan la guardia. Defensas: DMARC, MFA en cuentas de correo, deteccion de anomalias en patrones de respuesta, etiquetas de remitente externo y confirmacion fuera de banda para cualquier cambio de pago.
¿Cómo defenderse de Conversation hijacking?
Las defensas contra Conversation hijacking combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Conversation hijacking?
Nombres alternativos comunes: Secuestro de hilos de correo, Ataque de cadena de respuesta.
● Términos relacionados
- attacks№ 135
Compromiso de correo empresarial
Fraude dirigido en el que el atacante suplanta o toma el control de un buzón corporativo para engañar a un empleado y hacer transferencias, cambiar datos de pago o entregar información sensible.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.
- attacks№ 140
Callback phishing
Phishing en dos pasos en el que un correo de apariencia inofensiva convence a la victima de llamar a un numero, donde un operador la guia para instalar malware.
- attacks№ 010
Apropiacion de cuentas (ATO)
Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional.
- attacks№ 1065
Ingeniería social
Manipulación psicológica de personas para que realicen acciones o revelen información confidencial que beneficia al atacante.
- attacks№ 375
Suplantación de correo electrónico
Falsificación de las cabeceras de un correo para que parezca enviado por un remitente de confianza, habitualmente para phishing, fraude o malware.