Cómo los criminales roban cuentas de correo electrónico mediante el phishing

28 Ago 2019

El viejo y confiable correo electrónico no es la oferta más sexy en el mundo digital, pero en medio de un montón de novedosas aplicaciones y servicios (mensajería instantánea y redes sociales), se ha mantenido como una herramienta esencial para la vida moderna. La mayoría de nosotros todavía usamos el correo electrónico, cuando menos para registrar nuevas cuentas para todos esos servicios, aplicaciones y redes sociales existentes.

Justo esa necesidad convierte los inicios de sesión de correo electrónico en botines codiciados por los atacantes. En esta publicación explicamos cómo algunos cibercriminales se valen del phishing para apoderarse de ellos.

Entérate sobre las estrategias más comunes de hackeo de correo electrónico.

Correo de phishing: la estrategia más común de hackeo de correo electrónico

La inmensa mayoría de correos fraudulentos confeccionados para robar contraseñas y nombres de inicio de sesión de correo electrónico, tienen la apariencia de mensajes provenientes de servicios de correo electrónico que usamos. Cuando se dirigen contra los usuarios domésticos, los criminales que usan phishing se hacen pasar por los servicios de correo web más populares. Y cuando intentan hackear cuentas corporativas, fingen ser tu servicio de correo electrónico laboral; en este caso, el remitente es simplemente el servidor de correo.

Los servicios de correo más populares se ven imitado con mayor frecuencia. Los estafadores tratan de redactar dichos correos de la forma más convincente posible. Las estratagemas de engaño son las habituales: direcciones del remitente que parecen verdaderas, logotipos, encabezados y pies de página; enlaces a recursos oficiales, diseños verosímiles, etc.

Ejemplo de un correo de phishing para advertir sobre la eliminación inminente de la cuenta.

Correo de phishing que amenaza al usuario con eliminar su cuenta.

En cuanto a las cuentas corporativas, los estafadores a menudo envían correos de phishing, disfrazados como mensajes provenientes del servidor corporativo o de los servicios de correo electrónico gratuito, a las direcciones compartidas (incluyendo aquellas de los administradores), pero dichos correos a veces llegan a las casillas de correo de cada empleado, cuyas direcciones de alguna manera terminaron en las bases de datos de spam.

La empresas que buscan ser tomados en serio (sobre todo las más grandes), poseen servidores de correo electrónico propios. También son de interés para los atacantes los inicios de sesión y las contraseñas de dichas cuentas. Sus mensajes a menudo se ven delatados por su apariencia salpicada de descuidos (direcciones del remitente perteneciente a servicios de correo web gratuito, errores ortográficos, etc.), pero incluso dichos correos pueden tomados en serio por los empleados inexpertos.

Ejemplo de un correo de phishing donde advierte que se ha alcanzado el límite de almacenamiento.

En este correo, los criminales que usan phishing han imitado la advertencia de límite alcanzado.

En caso de un ataque dirigido contra una organización específica, los estafadores generalmente recopilan por adelantado la mayor información posible sobre ella con el fin de redactar sus correos del modo más convincente que puedan. Y para darle un toque de credibilidad y originalidad, pueden integrar los correos electrónicos de la víctima en los hipervínculos de phishing, de modo que cuando se visite la página falsa, la dirección ya se encuentre allí y lo único que se necesite ingresar es la contraseña de la casilla de correo.

Variantes del correo de phishing

Solicitud de información en texto plano

Los estafadores simplemente contactan a los usuarios a nombre de los servicios de correo con diferentes pretextos y solicitan a los usuarios el envío de direcciones de correo electrónico, contraseñas y otros datos. Por lo general, se insta a los usuarios a responder a una dirección de correo electrónico diferente a la del remitente.

Este tipo de correo de phishing fue muy popular hasta que los estafadores dominaron otros métodos más eficaces de robo de información.

Ejemplo de un correo de phishing donde se le solicita al usuario que envíe su contraseña de usuario.

Correo de phishing donde se solicita la información de cuenta, incluyendo la contraseña. Nunca envíes nada ni respondas a dicha solicitud.

Correo con un enlace a un sitio de web de suplantación de identidad (phishing)

Actualmente, los mensajes de phishing con enlaces son los más comunes. Los estafadores pueden utilizar números infinitos de enlaces generados con antelación, mezclarlos letra por letra en el mismo envío masivo de correos, crear páginas de phishing que se parezcan mucho a los sitios legítimos y automatizar la recopilación y el procesamiento de datos robados.

Pero estos enlaces claramente delatan el fraude, pues conducen a dominios sin ninguna relación con las organizaciones pretendidas o a nombres de dominio con errores ortográficos estilizados de modo tal que se parezcan a los legítimos. De ahí que los intrusos intenten esconder las direcciones adonde conducen sus enlaces. Y lo hacen mediante texto o imágenes con hipervínculos en los que puedes hacer clic. Dichos enlaces en texto pueden incluir frases como “Actualiza tu casilla de correo”. En otros casos, en la parte textual del enlace figurará la dirección genuina del servicio de correo, mientras que el enlace real remitirá al usuario a un sitio web de suplantación de identidad (phishing). Muchos usuarios no notarán la diferencia a menos que revisen los enlaces antes de hacer clic.

Ejemplo de un correo de phishing con un enlace a un sitio de este fraude.

La mayoría de los sitios de phishing contienen enlaces a páginas de phishing; evita hacer clic en esos enlaces.

Archivos adjuntos de phishing

Los correos de phishing también pueden contener archivos adjuntos: normalmente, archivos HTML, PDF o DOC.

Los archivos adjuntos en formatos DOC y PDF a menudo contienen el cuerpo del mensaje de phishing y el enlace fraudulento. Los atacantes optan por esta táctica cuando quieren que el texto real de un correo sea, en la medida de lo posible, lo más breve y parecido a la correspondencia legítima con el fin de evadir los filtros de spam.

Ejemplo de un correo de phishing con un archivo adjunto PDF.

Algunos correos de phishing vienen con archivos adjuntos PDF o DOC, con enlaces a sitios de phishing dentro de los archivos adjuntos.

Los archivos HTML se utilizan en lugar de los enlaces , pues el archivo adjunto HTML es, de hecho, una página preelaborada de phishing. Desde el punto de vista de los estafadores, la ventaja consiste en que el archivo adjunto HTML es completamente funcional (no necesita publicarse en internet) y contiene todos los elementos que necesita para llevar a cabo el fraude.

Ejemplo de un correo de phishing con un archivo adjunto HTML.

El formulario de inicio de sesión/contraseña está incluido dentro del propio correo de phishing. Nunca ingreses datos en algo semejante a esto.

Temas de los correos de phishing

Problemas con la cuenta

En cuanto al texto de los correos, la mayor parte comienza por sugerir que existe un problema con la cuenta de correo electrónico de la víctima: se alcanzó el límite del almacenamiento, existe un problema con la entrega de un correo, se detectó un inicio de sesión no autorizado, se acusa al destinatario de envío de spam, se notifican otros incumplimientos, etc.

El correo normalmente le comunica al usuario cómo resolver el problema: casi siempre es la confirmación o actualización de los datos de la cuenta mediante un enlace o la apertura de un archivo adjunto. Para asustar al receptor, afirma que si no sigue las instrucciones, la cuenta se verá bloqueada o eliminada.

En la mayoría de los casos, el correo establece un plazo para la respuesta, que pueden ser varias horas o semanas. Generalmente, son 24 horas , lo cual es al mismo tiempo verosímil, pero no tan largo para permitir que la víctima se relaje y se olvide del correo.

Ejemplo de un correo de phishing con un plazo de respuesta limitado.

“Su cuenta se eliminará dentro de 24 horas debido al envío de spam.” Las amenazas y los plazos son estratagemas comunes del phishing.

Imitación de correspondencia comercial

En ocasiones, existen correos de phishing inusuales dirigidos contra cuentas de correo electrónico. El posible que el texto en dichos mensajes no mencione en lo absoluto el correo electrónico o los datos de la cuenta. El correo puede parecer correspondencia comercial verdadera.

Debemos señalar que el volumen de correos comerciales falsos de phishing se ha incrementado en años recientes. Los mensajes de este tipo se usan por lo normal para enviar archivos adjuntos dañinos, pero algunos de ellos también intentan robar datos personales. Puede resultar difícil para el usuario promedio identificar un correo de phishing: los cibercriminales confían que así sea.

Ejemplo de un correo de phishing que luce como correspondencia comercial.

Cuando los criminales buscan cuentas corporativas, el uso de correspondencia comercial falsa es una táctica habitual.

Algunos usuarios nunca sospecharán la existencia de un fraude y seguirán el enlace para iniciar sesión y visualizarán un documento inexistente.

Ejemplo de un sitio web de suplantación de identidad (phishing) que insta al visitante a iniciar sesión para visualizar un documento.

Un sitio web de suplantación de identidad (phishing) insta al usuario a iniciar sesión para visualizar un documento referido en el correo de phishing.

Variantes de la página de phishing

Ya que hemos despachado el formato y el contenido de los correos, veamos cómo puede ser el aspecto de las páginas web de phishing y hablemos de los elementos a los cuales prestar atención con el fin de identificar un fraude.

Lo primero en lo que debes fijarte es la dirección del enlace. La dirección puede delatar enseguida el fraude. Los signos típicos de fraude incluyen:

  • los dominios sin relación con las organizaciones remitentes,
  • los nombres de organizaciones o servicios web están en la ruta de dirección, en lugar de aparecer en el dominio, por ejemplo: example.com/outlook/,
  • los errores de ortografía,
  • cadenas de símbolos aleatorios en la dirección del enlace,
  • los símbolos de otros idiomas que lucen similares al alfabeto latino básico: “ç” en lugar de “c”, “á” en lugar de “a” y así sucesivamente.

Del mismo modo que con los correos, los criminales que usan phishing intentan replicar lo mejor posible los sitios web reales. Pero siempre hay detalles que se les escapan; sin embargo, por desgracia, no todos los usuarios son capaces de detectarlos.

Eso es fácil de entender: pocas personas pueden recordar exactamente el aspecto de la página de inicio oficial de los servicios en línea que usan. Así pues, para crear una página de phishing convincente, a menudo basta con usar los elementos clave característicos: esquemas de color, logotipos, etc.

Ejemplo de la página de inicio de sesión de un servicio de correo web dentro de un sitio web de suplantación de identidad (phishing).

Página de inicio de sesión falsa de un servicio de correo web.

En las páginas de phishing diseñadas para robar inicios de sesión y contraseñas de un servicio de correo web gratuito, un rasgo característico es que dentro de la misma página figuran los enlaces a diversos servicios de correo web.

No bien hagas clic en alguno, aparecerá una venta que luce como la página de inicio de sesión para el servicio en cuestión. De esta manera, los estafadores pueden recopilar los datos de varias tipos de cuentas con apenas una página, en lugar de crear páginas separadas para cada uno.

Ejemplo de un sitio web de suplantación de identidad (phishing) universal, donde puedes elegir a qué cuenta ingresar.

Este sitio web de suplantación de identidad (phishing) imita el inicio de sesión de diferentes cuentas de correo web.

En lugar de hacerse pasar por un servicio de correo específico, los criminales que usan phishing pueden llegar a más víctimas potenciales mediante el uso de correos (sobre cualquier tema en general; por ejemplo, la antedicha alternativa de correspondencia comercial) con enlaces a páginas de phishing donde lo usuarios pueden elegir, según necesiten, los servicios de correo web más populares.

Ejemplo de una página de inicio de sesión de un servicio de correo web en un sitio web de suplantación de identidad (phishing).

Otro ejemplo de una página de inicio de sesión falsa de un servicio de correo web.

 

En ocasiones, también en las páginas de phishing se utiliza el truco del límite de tiempo que hemos mencionado al analizar los correos de phishing. No bien el usuario abre una página fraudulenta, comienza a correr una cuenta regresiva visible para que el usuario desprevenido ingrese sus datos.

Ejemplo de una página de phishing donde aparece un límite de tiempo.

Algunas páginas de phishing también obligan al usuario a darse prisa.

Cuando una víctima envía sus datos mediante una página de phishing, los resultados pueden variar. Algunos sitios web se vuelven inaccesibles o devuelven un mensaje de error. Otros señalan que el usuario ingresó datos incorrectos y le solicitan intentarlo de nuevo.

Probablemente, el escenario más peligroso de todos es uno que recientemente ha ganado relevancia. Una vez que se han ingresado los datos, la página de phishing redirige al usuario a la página de inicio de sesión real del servicio de correo web en cuestión. El usuario piensa que todo fue producto de un glitch, ingresa nuevamente sus datos de inicio de sesión/contraseña, esta vez con éxito, y se olvida de que algo raro pasó.

Identificar los correos de phishing

  • Si el dominio de la dirección del remitente no pertenece a la presunta organización del remitente (y en particular, si la casilla de correo está registrada en uno de los servicios de correo web gratuitos) , entonces el correo es fraudulento. El correo oficial viene siempre de direcciones oficiales.
  • Si el correo contiene enlaces, dominios no relacionados, errores ortográficos, símbolos especiales, etc., entonces se trata de un fraude.
  • Si el correo afirma que existen problemas inesperados con tu cuenta y te exige seguir un enlace para iniciar sesión antes de que el tiempo se agote, entonces los autores de ese correo son cibercriminales.

Resulta útil, aunque no indispensable, recordar todas estas cosas y analizar todos los correos que recibas. O bien, usa una solución resistente de antivirus que controle por ti el phishing y otras amenazas en línea.