Aunque la mayoría de correos de phishing tratan de ir directos al grano para generar una sensación de urgencia y alarma que haga bajar la guardia al usuario, en un caso reciente detectado en nuestro laboratorio nos ha sorprendido ver que es utilizaba una cierta terminología técnica, a la que los usuarios en empresas no están acostumbrados.
En este correo podemos observar cómo se hace alusión a un supuesto problema de configuración de los puertos usados para recibir y enviar correos electrónicos. Dado que la mayoría de usuarios desconoce cómo configurar su cuenta de correo corporativo, los delincuentes detrás de esta campaña han proporcionado un enlace para, supuestamente, recuperar los emails y configurar el puerto correctamente.
Ante un correo de este estilo, y dado que pocos usuarios en las empresas españolas se configuran ellos mismos los puertos utilizados para el envío y recepción del email, lo normal sería acudir al responsable de sistemas o informática del empresa para que revise si la información proporcionada por correos de este tipo es correcta.
Sin embargo, los delincuentes son conscientes de ello y, por ese motivo, están suplantando dominios de la empresa que recibe estos correos para que los usuarios piensen que se trata de un correo interno y que deben pulsar sobre el enlace proporcionado para solucionar esta incidencia.
Robo de credenciales
Si los delincuentes consiguen que el usuario muerda el anzuelo y pulse sobre el enlace proporcionado, éste será redirigido a una web que ha sido comprometida por los delincuentes y que muestra una pantalla de login donde la víctima puede introducir sus credenciales. Al haberse mencionado en el email a un problema en la configuración del correo electrónico, es muy probable que los usuarios introduzcan sus credenciales para acceder al correo corporativo.
Además, esta web cuenta con un certificado válido emitido por Let’s Encrypt, lo que les permite mostrar el candado verde en el que todavía confían ciegamente muchos usuarios, haciéndoles creer que están en una web segura cuando no es así. Lo único que podría hacer sospechar a un usuario despistado que haya llegado hasta esta web fraudulenta es el mensaje que se muestra en el fondo, indicando que no se ha podido cargar la imagen y que debe adquirirse una cuenta de pago para poder hacerlo.
Si el usuario introduce sus credenciales en esta web fraudulenta, éstas serán almacenadas por los delincuentes y usadas en su propio beneficio. A partir de ese momento podrían enviar correos en nombre de la víctima para conseguir información de otros usuarios de la empresa, propagar malware o incluso contactar con proveedores y clientes para tratar de replicar este tipo de ataque.
Esto supone un grave problema para empresas de todo tipo, ya que aunque las grandes corporaciones suelen contar con mejores herramientas de detección de amenazas que las pymes, al poder utilizar correos comprometidos como los de este artículo, los delincuentes podrían llegar a sortear algunas de estas medidas de seguridad y provocar un grave incidente en empresas de mayor tamaño.
Conclusión
Pese a estar a finales del verano y con muchas empresas funcionando a medio gas, seguimos viendo cómo los delincuentes no cesan en su empeño de robar credenciales de todo tipo, y especialmente durante los últimos meses, credenciales relacionadas con cuentas corporativas. Por ello, es importante contar con soluciones de seguridad que permitan detectar estas amenazas a tiempo e impedir que lleguen a la bandeja de entrada de los usuarios.
.- Este es un artículo de tecnonews.info y AMIC para Menorcaaldia.com
