El Departamento de Salud de EE.UU ha advertido de que los actores de amenazas están llevando a cabo una nueva ola de ataques de ingeniería social en los que se dirigen a los trabajadores que se encargan del servicio técnico en organizaciones de atención médica y de salud pública.
En uno de estos ataques se identificó cómo un pirata informático llamaba a uno de estos técnicos por teléfono, desde un código de área local, haciéndose pasar por un empleado con una función financiera y convenciéndolo de registrar un nuevo dispositivo de autenticación multifactor (MFA).
Los actores de amenazas llegaron a proporcionar al empleado información confidencial, incluyendo un número de seguro social que, seguramente, se habría obtenido de información disponible públicamente o de violaciones de datos.
Además, para justificar la petición de añadir ese nuevo dispositivo aseguraron que su teléfono estaba dando problemas y no podían recibir los clásicos códigos de doble autenticación.
Una vez que los piratas informáticos consiguieron obtuvieron el acceso a la red objetivo buscaron información de inicio de sesión relacionada con los sitios webs de los pagadores y enviaron un formulario ACH en las cuentas de estos.
“Una vez que se logró acceso a las cuentas de correo electrónico de los empleados, enviaron instrucciones a los procesadores de pagos para desviar pagos legítimos a cuentas bancarias estadounidenses controladas por atacantes. Luego los fondos se transfirieron a cuentas en el extranjero”, puede leerse en la alerta del Departamento de Salud estadounidense.
Amenazas conocidas
El departamento cuenta como en septiembre de 2023 estas tácticas de ingenería social fueron usadas para atacar a una organización de la industria hotelera y del entretenimiento como parte de un ataque de ransomware. La responsabiliad de estas amenazas recayó en la banda BlackCat (también llamada Alphv).
Sin embargo, la reciente campaña contra entidades de atención médica no empleó ransomware, aunque se sirvió de las mismas técnicas de voz de phising y tácticas de suplantación de empleados.
"Se puede capacitar a los usuarios para que identifiquen y denuncien técnicas de ingeniería social e intentos de phishing, y al mismo tiempo sospechen y verifiquen la identidad de las personas que llaman", recomienda el departamento para que las potenciales víctimas estén prevenidas.