Si los cibercriminales tienen acceso a una cuenta de correo electrónico corporativo pueden realizar ataques que comprometan un correo electrónico empresarial. Es por esto que vemos muchas cartas de phishing dirigidas a usuarios corporativos para iniciar sesión en los sitios web que simulan ser la página de inicio de MS Office. Y esto significa que es muy importante saber a qué hay que ponerle atención si un enlace te redirige a una página como esa.
Los cibercriminales que roban credenciales para cuentas de Microsoft Office no son nada nuevo. Sin embargo, los métodos que los atacantes emplean cada vez son más avanzados. El día de hoy vamos a tomar como ejemplo un caso del mundo real (una carta que sí recibimos) para demostrar las mejores prácticas y describir algunos trucos nuevos.
Nuevo truco de phishing: Archivo adjunto HTML
En general, una carta de phishing incluye un hipervínculo a un sitio web falso. Esto es algo que siempre decimos: es necesario examinar los hipervínculos con cuidado, tanto en su aspecto general como en las direcciones web a las que redirigen (pasar el cursor sobre la URL revela la dirección objetivo en la mayoría de clientes de correo e interfaces web). Sin duda, una vez que las personas hicieron de esta precaución un hábito, los suplantadores de identidad ya no incluían enlaces, sino archivos HTML, cuyo único propósito es automatizar el redireccionamiento.
Al hacer clic, el archivo adjunto HTML se abre en un navegador. En cuanto al aspecto del phishing, el archivo solo contiene una línea de código (javascript: window.location.href) con la dirección del sitio web de suplantación de identidad (phishing) como variable. Obliga al navegador a abrir el sitio web en la misma ventana.
Qué debes buscar en una carta de phishing
Haciendo a un lado las nuevas tácticas, el phishing no cambia, así que comienza con la carta misma. Esta es la carta real que recibimos. En este caso, es una notificación falsa de mensaje de voz:
Antes de hacer clic en el archivo adjunto, hay que hacernos algunas preguntas:
- ¿Conoces al remitente? ¿Qué tan probable es que el remitente te deje un mensaje de voz en el trabajo?
- ¿Es práctica común en tu empresa enviar mensajes de voz por correo electrónico? No es que se utilice mucho ahora, pero Microsoft 365 no ha tenido soporte de correo de voz desde enero de 2020.
- ¿Tienes claro desde qué aplicación se envió la notificación? MS Recorder no es parte del paquete de Office; y, en cualquier caso, la aplicación de grabación de voz predeterminada de Microsoft, la cual en teoría podría enviar mensajes de voz, se llama Grabadora de voz, no MS Recorder.
- ¿El archivo adjunto parece un archivo de audio? Con Grabadora de voz se puede compartir grabaciones de voz, pero se envían como archivos .m3a. Incluso si la grabación proviene de una herramienta desconocida y se almacena en un servidor, debería incluir un enlace a ésta, no un archivo adjunto.
En resumen: Recibimos una carta de un remitente desconocido que supuestamente entrega un mensaje de voz (una herramienta que nuca usamos) que fue grabado con un programa desconocido, enviada como una página web adjunta. ¿Vale la pena intentar abrirla? Definitivamente no.
Cómo reconocer una página de phishing
Vamos a suponer que hiciste clic en el archivo adjunto y te llevó a una página de phishing. ¿Cómo puedes saber que no es un sitio legítimo?
En esto debes fijarte:
- ¿El contenido de la barra de direcciones parece una dirección de Microsoft?
- ¿Los enlaces para “¿Problemas para acceder a su cuenta?” e “Iniciar sesión con una clave de seguridad” te redirigen a donde deberían? Incluso en una página de phishing, es posible que sí te lleven a páginas reales de Microsoft, aunque en nuestro caso, estaban inactivos, que es una señal clara de fraude.
- ¿La ventana se ve bien? En general, Microsoft no tiene problemas con detalles como la escala de la imagen de fondo. Y, si bien, los problemas técnicos le pasan a todos, las anomalías deberían ponerte alerta.
En cualquier caso, si tienes dudas, visita https://login.microsoftonline.com/ para que sepas cómo se ve la página real de inicio de sesión de Microsoft.
Cómo evitar caer en la trampa
Para evitar ceder las contraseñas de tu cuenta de Office a atacantes desconocidos:
- Pon atención. Utiliza nuestras preguntas para evadir las formas más simples de phishing. Para aprender más trucos, prueba nuestros cursos de capacitación en concienciación en ciberamenazas modernas.
- Protege los buzones de correo de los empleados con protección para Office 365 a fin de exponer los intentos de phishing con hipervínculos o con archivos HTML adjuntos, y protección de endpoints para evitar que se abran sitios de phishing.