Phishing corporativo disfrazado de evaluación de desempeño

15 Oct 2019

Con tal de obtener las credenciales de cuentas empresariales, los cibercriminales están ideando nuevas estratagemas para atraer a los empleados a sitios de phishing. Hubo campañas pasadas de spam que utilizaron como carnada las invitaciones en SharePoint y los mensajes de voz.

Recientemente, nuestros expertos descubrieron otro esquema de phishing en el cual los cibercriminales intentan imitar el proceso de evaluación de desempeño de la empresa objetivo. El ataque es doble: los recipientes piensan que la valoración es (a) obligatoria; y (b) que puede producir un aumento de sueldo. Vale la pena señalar que, en algunas empresas, dichas evaluaciones son parte de la rutina del proceso de revisión salarial; de ahí que no despierten sospechas.

Como de costumbre, todo comienza con un correo electrónico. Un empleado recibe un mensaje que parece provenir de Recursos Humanos y que recomienda realizar una evaluación de desempeño. El texto del mensaje contiene un enlace a un sitio web con un “formulario de evaluación” que debe llenarse.

Contra los recién llegados

Según las instrucciones, el usuario debe seguir el enlace, iniciar sesión, esperar un mensaje de correo electrónico con detalles adicionales y seleccionar una de las tres opciones. Para cualquier persona nueva en la empresa y sin conocimiento del procedimiento de evaluación, esta serie de pasos puede lucir convincente. Solamente la dirección del sitio (que no guarda relación alguna con los recursos corporativos) podría levantar sospechas.

Si el empleado sigue el enlace, verá una página de inicio de sesión del “Portal de Recursos Humanos”. A diferencia de muchos recursos de phishing diseñados para reproducir la apariencia de las páginas de inicio de sesión de servicios empresariales, esta parece absolutamente rudimentaria, con un fondo brillante monocromo o un fondo degradado y con campos de ingreso de datos que cubren la página. Y en aras de la autenticidad, los estafadores invitan al usuario a aceptar la política de privacidad (sin proporcionar un enlace a dicho documento).

       

Se le pide a la víctima que ingrese su nombre de usuario, contraseña y dirección de correo electrónico. En algunos casos, los estafadores solicitan la dirección del trabajo. Y al hacer clic en el botón “iniciar sesión” o “ir a la evaluación”, el empleado en realidad envía los datos a los cibercriminales.

En este punto, es probable que “evaluación” termine abruptamente. En vano, el empleado esperará por un tiempo el mensaje de correo electrónico prometido, junto con otros detalles. En el mejor de los casos, puede que sospeche que algo no está bien, y envíe un cortés recordatorio al departamento de Recursos Humanos, quienes a su vez notificarán al área de seguridad de TI. De otro modo, la empresa podría haber detectado el robo de identidad meses después.

Los peligros del secuestro de cuentas corporativas

Todo depende, por supuesto, de qué tecnologías emplee la empresa en cuestión. Al obtener las credenciales de un empleado, el cibercriminal podía llevar a cabo fechorías; por ejemplo, podría enviar a nombre de la víctima mensajes de correo electrónico dirigidos contra otros empleados, socios y clientes de la empresa.

El atacante también podría ganar acceso a la correspondencia o los documentos confidenciales internos, lo que incrementa las posibilidades de un ataque exitoso: es probable que los mensajes que parecen provenir de la víctima no solamente evadan los filtros de spam, sino que produzcan en los destinatarios una falsa sensación de seguridad. Posteriormente, la información robada también podría utilizarse para lanzar varios tipos de ataques dirigidos a nombre de la propia empresa, lo que incluye la vulneración de los correos electrónicos corporativos (BEC, por sus siglas en inglés).

Además, los documentos internos y los mensajes de los empleados pueden usarse para otras cosas; por ejemplo, para realizar chantajes o venderlos a la competencia.

Cómo defenderse de los ataques de phishing

Estos ataques explotan sobre todo el factor humano. De ahí que sea crucial asegurarse de que los empleados se encuentren familiarizados con los procedimientos y los procesos de ciberseguridad de la empresa.

  • Emite recordatorios periódicos dirigidos a los empleados para que manejen con precaución los enlaces en los mensajes de correo electrónico y para que los abran solamente si están seguros de su autenticidad.
  • Recuerda al personal de no deben ingresar los datos de sus cuentas de trabajo en sitios web externos.
  • Intercepta los mensajes de correo electrónico con phishing antes de que lleguen siquiera a la bandeja de entrada. Para esto, instala una solución de seguridad a nivel del servidor de correo electrónico. Kaspersky Security for Mail Server o Kaspersky Endpoint Security for Business Advanced llevarán a cabo esta labor.