Phishing de credenciales de Office 365 mediante Google Docs

Suplantadores de identidad utilizan los servicios online de Google para apoderarse de cuentas de servicio online de Microsoft.

Desde el inicio de la pandemia de COVID-19, muchas empresas trasladaron una buena parte de sus flujos de trabajo online y aprendieron a utilizar nuevas herramientas de colaboración. En particular, se ha visto un aumento en el uso de Office 365 Suite de Microsoft, y, para sorpresa de nadie, ahora cada vez más cuentas de usuario de esta plataforma son objetivo que ataques de phishing. Los estafadores recurren a todo tipo de trucos para que los usuarios de empresas ingresen sus contraseñas en un sitio web que simula ser una página de inicio de sesión de Microsoft. Esta es otra estrategia de phishing que utiliza los servicios de Google.

Carta de phishing

Así como la mayoría de las estrategias de phishing, esta comienza con una carta (y un enlace) parecida a esta:

Una carta de phishing con un enlace a Google Docs

Este mensaje confuso de parte de un remitente desconocido involucra algún tipo de depósito e incluye un enlace con un supuesto “Consejo para el depósito.” En la carta se le pide al destinatario que compruebe el tipo de depósito y confirme el importe. Si bien los sistemas de seguridad alertan a los destinatarios de que la carta procede de fuera de la empresa, el enlace “al archivo” pasa la prueba porque conecta con un servicio online legítimo de Google, no con un sitio de phishing.

Sitio de phishing

El enlace te lleva a una ubicación que parece ser una página del servicio corporativo OneDrive. Los usuarios incluso pueden ver que el documento está disponible para cualquier usuario de la empresa (puesto así probablemente con la esperanza de que alguien remita el enlace al propietario de una cuenta corporativa).

Una presentación de Google Docs que se parece más a una interfaz de OneDrive.Pero la pantalla que los usuarios ven no es en realidad una página web, es una diapositiva de una presentación de Google Docs que se abre automáticamente en modo Visualización. El botón Abrir que contiene puede ocultar cualquier enlace. En este caso, el enlace conecta con una página de phishing disfrazada de una página de inicio de sesión de Office 365.

Página falsa de inicio de sesión

Señales de alerta

Para empezar, la carta se ve rara. No debes confiar, y mucho menos reenviar, una carta cuyo origen y objetivo no son claros. En este caso, por ejemplo, si no estabas involucrado en un depósito, entonces tal vez no deberías hacer nada respecto a ese depósito.

Más evidencia:

  • Las cartas de fuentes externas no tienden a enlazar a documentos internos de la empresa.
  • Los documentos financieros reales están previstos para ser abiertos por personas específicas, y no por todas las personas en una organización.
  • El nombre del archivo en la carta no concuerda con el que supuestamente está alojado en OneDrive.
  • Google Docs no alberga páginas de Microsoft OneDrive (observa la barra de dirección del navegador).
  • OneDrive no es Outlook, y un botón Abrir en OneDrive no debería de dirigir a una página de inicio de sesión de Outlook.
  • Las páginas de inicio de sesión de Outlook no residen en sitios web de Amazon (otra pista de la barra de direcciones del navegador).

Cada inconsistencia debería disparar una señal de alerta, y conjunto, no queda duda: Este no es un lugar seguro para tus credenciales de Office 365.

Cómo mantenerse seguro

La clave de la seguridad digital yace en poner atención a los detalles y estar al tanto de los trucos de phishing. Por lo que encarecidamente te recomendamos hacer consciencia corporativa sobre las ciberamenazas actuales (nuestra capacitación está disponible online)

Además de capacitar al personal, utiliza las herramientas para escaneo de enlaces a nivel corporativo y de estación de trabajo.

Consejos
Suscríbete y recibe nuestras publicaciones en tu correo
  • Para el resto de países