PDF Online para phishing en el correo corporativo

Lo último en la batalla del phishing por las credenciales de correo electrónico corporativo involucra unas notificaciones que afirman ser de los servicios online de Adobe. Y, dado que los suplantadores de identidad han comenzado a usar un archivo de PDF online (supuestamente almacenado en el sitio web de Adobe), hemos creado un archivo real para resaltar las señales de alerta de un correo electrónico sospechoso y un “PDF online” falso.

Un mensaje de phishing de Adobe PDF online

En los mensajes de phishing, lo primero que destaca es la descripción del archivo, que dice: “Adobe PDF online seguro”. De inmediato, deberías preguntarte: ¿existe realmente el servicio? Suena plausible y una búsqueda rápida en Google te dirá que Adobe sí tiene un servicio para almacenar archivos PDF en línea y que dicho servicio permite a los usuarios compartir archivos cifrados. Pero no encontrarás el nombre “Adobe PDF online” en ningún sitio web real de Adobe. Es “Adobe Acrobat online” o “Adobe Document Cloud”. A modo de curiosidad, le pedí a un compañero que me enviara un archivo para poder comparar las notificaciones.

El mensaje real está a la derecha

Por si no sabes cómo es un correo electrónico real de Adobe para el intercambio de archivos, a continuación te mostramos algunas de las señales de alerta. Ninguna es garantía de fraude, además, existen excepciones a todas las reglas, pero cada una debería levantar sospechas, y motivarte a prestar especial atención e investigar más a fondo:

1. El remitente. Si un correo electrónico es de un servicio online, debería resultar obvio por el nombre y la dirección del remitente. Por el contrario, si el remitente es una persona específica, el mensaje no se verá como una notificación de un servicio.
2. El asunto. Si escribes a alguien llamado Leo, ¿escribirías algo como “leonides@gmail.com ha recibido un archivo PDF” como asunto?
3. El nombre del servicio. No es necesario que recuerdes el nombre de todos los servicios online, pero si no estás totalmente seguro, utiliza un motor de búsqueda para comprobarlo.
4. Hipervínculo/icono. Antes de hacer clic en un icono de Descargar o Abrir, coloca el cursor sobre ellos para inspeccionar el hipervínculo y asegúrate de que redirija a donde debería.
5. Pie de página del correo electrónico. Es muy poco probable que un correo electrónico de Adobe termine con una garantía de que Microsoft respeta tu privacidad.
6. Las palabras “lee aquí nuestra Declaración de privacidad” sin un hipervínculo.

No es el sitio web de Adobe Document Cloud

Por el momento, todavía podemos depender de los suplantadores de identidad para cometer errores estúpidos, pero nada les impide hacer un buen trabajo. Por ejemplo, si el correo electrónico parece legítimo, ha llegado el momento de verificar el sitio web, que en este caso parece una ventana de autenticación que oculta la interfaz borrosa de Adobe Acrobat Reader DC. Puede parecer legítimo, aunque solo si la persona que recibió el correo electrónico no sabe cómo es el sitio web real de los servicios online de Adobe y su ventana de solicitud de inicio de sesión.

Solicitud de contraseña en el sitio web de phishing (arriba) y en el sitio web real de Adobe

Aquí, las señales de advertencia varían un poco. Comienzan con el fondo borroso: una protección poco profesional para datos confidenciales, ya que parte del texto es fácil de descifrar a simple vista.

1. La URL. El sitio web de un servicio de Adobe debe tener un dominio de Adobe en su dirección.
2. El nombre de archivo. A pesar del desenfoque, aún se puede distinguir el nombre del archivo: EMInvoice_R6817-2.pdf. No coincide con la ventana de autenticación, que afirma que el archivo disponible para descargar se llama “Wire Transfer Receipt.pdf”.
3. Términos confusos. El documento borroso tiene escrito “Factura” como si fuera una solicitud de pago, pero el nombre del archivo dice “recibo”, confirmando el pago ya recibido.
4. Versiones del programa. El nombre “Adobe Acrobat Reader DC” se hace evidente en el fondo borroso, mientras que el programa nombrado en la ventana de autenticación es Adobe Reader XI. Alguien que rara vez usa archivos PDF puede que no sepa que XI es una versión anterior del software; aun así, esta discrepancia debería destacarse.
5. AdobeDoc Security. Es posible que no conozcas los nombres que utiliza Adobe para sus tecnologías, pero hay un símbolo de marca registrada junto a “AdobeDoc” y vale la pena comprobarlo.
6. Solicitud de una contraseña de correo electrónico. Un servicio legítimo de Adobe no necesita tu contraseña de correo electrónico, punto.

Cómo proteger el correo electrónico corporativo del phishing

Para mantener a tus empleados a salvo del phishing:

• Imparte formaciones periódicas a tus empleados en materia de sensibilización de ciberamenaza para ayudarlos a evitar caer en los trucos del phishing.
• Instala una solución contra el phishing en el servidor de correo electrónico corporativo para evitar que la mayoría de los correos de phishing lleguen a las bandejas de entrada de los empleados.
• Instala productos de seguridad con componentes antiphishing en cada computadora corporativa; sus filtros evitarán que los empleados abran enlaces de phishing.