Hoy vamos a relatar un secuestro muy reciente de una cuenta personal de la página de un proveedor de hosting. Este tipo de cuenta es muy atractiva para los cibercriminales. A continuación explicamos cómo operó el ataque y qué tal lejos puede llegar este tipo de violación.
Estrategia de phishing
El ataque comenzó con phishing clásico. En este caso, intentaron asustar al destinatario para que actuará rápido mediante el llamado a un ciberataque: haciéndose pasar como el proveedor de hosting, los estafadores argüían que bloquearían temporalmente la cuenta en respuesta a un intento de compra de un dominio sospechoso a través de esta. Para recuperar el control de cuenta, el destinatario tendría que seguir el enlace e ingresar a su cuenta personal.
El cuerpo del mensaje está repleto de focos rojos. No incluye ni el nombre del proveedor ni su logotipo, lo que sugiere el uso de una plantilla común para clientes de los distintos sitios de hosting. El nombre solo aparece una vez, en el nombre del remitente. Además, el nombre no concuerda con el dominio del correo, lo que es claramente sospechoso.
El enlace lleva una página de inicio de sesión poco convincente. Incluso hay algo raro con la gama de colores. Lo más probable es que esperen que el usuario actúe por pánico y no se dé cuenta.
Como con cualquier phishing, ingresar credenciales en esta página es equivalente a otorgar el control a los cibercriminales. En este caso, sin embargo, eso significa entregar las claves del sitio web corporativo. Llama la atención que también piden algunos detalles financieros, pero no queda claro con qué motivo.
¿Por qué un proveedor de hosting?
Observa la página de inicio de sesión. Todo parece en orden con los certificados del sitio de phishing. Parece de buena reputación. Tiene sentido; los cibercriminales no crearon el dominio, solo se apoderaron de él, probablemente mediante un ataque similar.
El alcance que los cibercriminales tengan con el control de una cuenta personal de un sitio web de un anfitrión depende del proveedor. Por poner algunos ejemplos probables, pueden volver a enlazar a otros contenidos, actualizar el contenido del sitio a través de una interfaz web y cambiar la contraseña del protocolo de transferencia de archivos (FTP) para la gestión de contenido. En otras palabras, los cibercriminales tienen opciones.
¿Las posibilidades son demasiado generales? Aquí hay algunas ideas más específicas. Si los cibercriminales toman el control de tu sitio, podrían agregar una página de phishing, utilizar tu sitio para albergar un enlace de descarga de malware, o incluso utilizarlo para atacar a tus clientes. En resumen, pueden comercializar usando el nombre de tu empresa y la reputación del sitio web con fines maliciosos.
Cómo protegerse de los ataques de phishing
Los correos electrónicos de phishing pueden ser muy persuasivos. En primer lugar, los empleados deben estar alerta para evitar engancharse. Te recomendamos:
- Mantener una política que indique nunca hacer clic en enlaces a cuentas personales. Cualquiera que reciba un mensaje preocupante de su proveedor de servicios de hosting debe ingresar en el sitio legítimo, comenzando por teclear la dirección en la barra de direcciones del navegador.
- Activar la autenticación de dos factores en el sitio web del proveedor. Si el proveedor no ofrece la autenticación de 2 factores, averigua cuándo planean añadirla.
- Mantenerte alerta a las señales obvias de phishing (como una discrepancia entre el nombre del remitente y el dominio del correo electrónico, o nombres incorrectos del dominio en los sitios web). Lo ideal es capacitar a los empleados para que identifiquen los intentos de phishing (una opción es usar una plataforma de capacitación en línea).
- Instalar soluciones de seguridad para correo electrónico corporativo en todos los servidores y dispositivos que utilicen los empleados para el acceso a Internet.