Trucos de phishing con Microsoft Office

Te decimos qué hacer si un mensaje entrante te pide que inicies sesión en tu cuenta de MS Office.

Si los cibercriminales tienen acceso a una cuenta de correo electrónico corporativo pueden realizar ataques que comprometan un correo electrónico empresarial. Es por esto que vemos muchas cartas de phishing dirigidas a usuarios corporativos para iniciar sesión en los sitios web que simulan ser la página de inicio de MS Office. Y esto significa que es muy importante saber a qué hay que ponerle atención si un enlace te redirige a una página como esa.

Los cibercriminales que roban credenciales para cuentas de Microsoft Office no son nada nuevo. Sin embargo, los métodos que los atacantes emplean cada vez son más avanzados. El día de hoy vamos a tomar como ejemplo un caso del mundo real (una carta que sí recibimos) para demostrar las mejores prácticas y describir algunos trucos nuevos.

Nuevo truco de phishing: Archivo adjunto HTML

En general, una carta de phishing incluye un hipervínculo a un sitio web falso. Esto es algo que siempre decimos: es necesario examinar los hipervínculos con cuidado, tanto en su aspecto general como en las direcciones web a las que redirigen (pasar el cursor sobre la URL revela la dirección objetivo en la mayoría de clientes de correo e interfaces web). Sin duda, una vez que las personas hicieron de esta precaución un hábito, los suplantadores de identidad ya no incluían enlaces, sino archivos HTML, cuyo único propósito es automatizar el redireccionamiento.

Al hacer clic, el archivo adjunto HTML se abre en un navegador. En cuanto al aspecto del phishing, el archivo solo contiene una línea de código (javascript: window.location.href) con la dirección del sitio web de suplantación de identidad (phishing) como variable. Obliga al navegador a abrir el sitio web en la misma ventana.

Qué debes buscar en una carta de phishing

Haciendo a un lado las nuevas tácticas, el phishing no cambia, así que comienza con la carta misma. Esta es la carta real que recibimos. En este caso, es una notificación falsa de mensaje de voz:

Una carta de phishing

Antes de hacer clic en el archivo adjunto, hay que hacernos algunas preguntas:

  1. ¿Conoces al remitente? ¿Qué tan probable es que el remitente te deje un mensaje de voz en el trabajo?
  2. ¿Es práctica común en tu empresa enviar mensajes de voz por correo electrónico? No es que se utilice mucho ahora, pero Microsoft 365 no ha tenido soporte de correo de voz desde enero de 2020.
  3. ¿Tienes claro desde qué aplicación se envió la notificación? MS Recorder no es parte del paquete de Office; y, en cualquier caso, la aplicación de grabación de voz predeterminada de Microsoft, la cual en teoría podría enviar mensajes de voz, se llama Grabadora de voz, no MS Recorder.
  4. ¿El archivo adjunto parece un archivo de audio? Con Grabadora de voz se puede compartir grabaciones de voz, pero se envían como archivos .m3a. Incluso si la grabación proviene de una herramienta desconocida y se almacena en un servidor, debería incluir un enlace a ésta, no un archivo adjunto.

En resumen: Recibimos una carta de un remitente desconocido que supuestamente entrega un mensaje de voz (una herramienta que nuca usamos) que fue grabado con un programa desconocido, enviada como una página web adjunta. ¿Vale la pena intentar abrirla? Definitivamente no.

Cómo reconocer una página de phishing

Vamos a suponer que hiciste clic en el archivo adjunto y te llevó a una página de phishing. ¿Cómo puedes saber que no es un sitio legítimo?

Una página web de phishingEn esto debes fijarte:

  1. ¿El contenido de la barra de direcciones parece una dirección de Microsoft?
  2. ¿Los enlaces para “¿Problemas para acceder a su cuenta?” e “Iniciar sesión con una clave de seguridad” te redirigen a donde deberían? Incluso en una página de phishing, es posible que sí te lleven a páginas reales de Microsoft, aunque en nuestro caso, estaban inactivos, que es una señal clara de fraude.
  3. ¿La ventana se ve bien? En general, Microsoft no tiene problemas con detalles como la escala de la imagen de fondo. Y, si bien, los problemas técnicos le pasan a todos, las anomalías deberían ponerte alerta.

En cualquier caso, si tienes dudas, visita https://login.microsoftonline.com/ para que sepas cómo se ve la página real de inicio de sesión de Microsoft.

Cómo evitar caer en la trampa

Para evitar ceder las contraseñas de tu cuenta de Office a atacantes desconocidos:

Consejos