En años recientes, han sido bastante regulares las noticias sobre redes corporativas infectadas mediante correo electrónico (y generalmente relacionadas con el pago de un rescate). Por lo tanto, no es sorprendente que los estafadores utilicen frecuentemente el tema para tratar de sustraer las credenciales de las cuentas de correos corporativos, al convencer a los empleados de la empresa de que ejecuten un análisis de su buzón.
La estratagema está dirigida a personas que conocen la posible amenaza del malware en el correo electrónico, pero que no tienen conocimientos suficientes sobre cómo tratarla. El personal de seguridad de la información haría bien en explicar estos trucos a los empleados y utilizarlos de ejemplos para ilustrar qué deben buscar los empleados para evitar ser víctimas de los cibercriminales.
Correo electrónico de phishing
Este mensaje fraudulento emplea el viejo truco de intimidar a la víctima. En el encabezado puede leerse “Alerta de virus” seguido de tres signos de exclamación. Por muy insignificante que parezca la puntuación, es lo primero que debería avisar al destinatario de que algo puede salir mal. La puntuación innecesaria en un correo de trabajo es un signo de dramatismo o falta de profesionalidad. De cualquier manera, está fuera de lugar en una notificación supuestamente destinada a transmitir información sobre una amenaza.
La pregunta principal que los destinatarios deben hacerse es: ¿quién envió el mensaje? El correo electrónico afirma que, si no se actúa, la cuenta del destinatario será bloqueada. Podría ser lógico asumir que lo envió el servicio de TI que proporciona soporte al servidor del correo corporativo o los empleados del proveedor de servicios de correo electrónico.
Pero es importante entender que ningún proveedor o servicio interno requeriría la acción del usuario para analizar el contenido del buzón. El escaneo se realiza automáticamente en el servidor de correo. Además, la “actividad de un virus” rara vez ocurre dentro de una cuenta. Incluso si alguien enviara un virus, el destinatario tendría que descargarlo y ejecutarlo. La infección ocurre en la computadora, no en la cuenta de correo.
Volviendo a la primera pregunta, un vistazo al remitente da dos señales de alerta inmediatas. Primero, el correo electrónico se envió desde una cuenta de Hotmail, mientras que una notificación legítima mostraría el dominio de la empresa o del proveedor. Segundo, se dice que el mensaje proviene del “Equipo de Seguridad de Correo Electrónico”. Si la empresa del destinatario utiliza un proveedor externo de servicios de correo, su nombre debe aparecer en la firma. Y si el servidor de correo está en la infraestructura corporativa, la notificación vendrá del departamento interno de TI o del servicio de seguridad de la información, pues las probabilidades de que un equipo entero sea responsable únicamente de la seguridad del correo electrónico son mínimas.
Lo siguiente es el enlace. La mayoría de los clientes de correo electrónico modernos muestran la URL escondida detrás del hipervínculo. Si se insta al destinatario a hacer clic en un escáner de correo electrónico alojado en un dominio que no pertenece ni a su empresa ni al proveedor de correo, es casi seguro que se trata de phishing.
Sitio de phishing
El sitio parece una especie de escáner de correo electrónico en línea. Con el fin de parecer auténtico, muestra los logotipos de una serie de proveedores de antivirus. El encabezado incluso ostenta el nombre de la empresa del destinatario, lo que pretende eliminar cualquier duda sobre de quién es la herramienta. El sitio primero simula un escaneo, luego lo interrumpe con el mensaje no programado “Confirme su cuenta a continuación para completar el escaneo del correo electrónico y eliminar todos los archivos infectados”. La contraseña de la cuenta es necesaria para eso, por supuesto.
Para determinar la naturaleza del sitio, comienza por examinar el contenido de la barra de direcciones del navegador. Primero, como se mencionó anteriormente, no está en el dominio correcto. En segundo lugar, lo más probable es que la URL contenga la dirección de correo electrónico del destinatario. Eso en sí mismo está bien , pues la ID de usuario podría haber pasado a través de la URL. Pero en caso de que tengas dudas sobre la legitimidad del sitio, sustituye la dirección por caracteres arbitrarios (pero mantén el símbolo @ para conservar la apariencia de una dirección de correo electrónico).
Los sitios de este tipo utilizan la dirección proporcionada por el enlace en el correo electrónico de phishing para rellenar los espacios en blanco en la plantilla de la página. Para el experimento, se utilizó la dirección inexistente victima@tuempresa.org, y el sitio sustituyó debidamente “tuempresa” en el nombre del escáner, y la dirección completa en el nombre de la cuenta, con lo que aparentó iniciar el escaneo de los archivos adjuntos inexistentes en los correos electrónicos inexistentes. Repitiendo el experimento con una dirección diferente, vimos que los nombres de los archivos adjuntos en cada “escaneo” eran los mismos.
Otra inconsistencia es que el escáner supuestamente escanea el contenido del buzón sin necesidad de autenticación. Entonces, ¿por qué solicita la contraseña?
Cómo proteger a sus empleados del phishing
Hemos analizado en detalle los signos de phishing tanto en el correo electrónico como en el sitio web del escáner falso. El simple hecho de mostrar este mensaje a los empleados les dará una idea aproximada de lo que deben buscar. Pero eso es sólo la punta este particular iceberg. Algunos correos electrónicos falsos son más sofisticados y difíciles de detectar.
Por lo tanto, recomendamos una labor continua de concientización para los empleados acerca de las últimas ciberamenazas; por ejemplo, con nuestra plataforma Kaspersky Automated Security Awareness.
Además, utiliza soluciones de seguridad capaces de detectar correos electrónicos de phishing en el servidor de correo y bloquear las redirecciones a sitios de phishing en las estaciones de trabajo. Kaspersky Security for Business hace ambas cosas. Además, ofrecemos una solución que mejora los mecanismos de protección incorporados de Microsoft Office 365.