Estafa con notificación de restauración de contraseña

Lección contra el phishing: qué deben saber los empleados de la empresa sobre las notificaciones falsas sobre la seguridad de sus cuentas

La mayoría de los servicios online cuentan con un sistema de seguridad integrado que te alerta cuando detecta actividad “inusual” en tu cuenta. Por ejemplo, los servicios envían notificaciones sobre los intentos de restaurar el número de teléfono y dirección de correo electrónico vinculados a tu cuenta, o la contraseña. Por supuesto, en cuanto el envío de estos mensajes se hizo práctica común, los emprendedores cibercriminales intentaron imitar este mecanismo para atacar a los usuarios corporativos.

Ejemplo de una notificación falsa

Si se trata de un servicio online público, los atacantes usualmente harán todo lo posible por crear copias exactas de un mensaje real. Sin embargo, si los atacantes están a la caza del acceso a un sistema interno, con frecuencia deben utilizar su imaginación ya que podrían no saber cómo se ve el correo electrónico en cuestión.

Ejemplo real de una notificación falsa respecto a un cambio de número telefónico

Ejemplo real de una notificación falsa respecto a un cambio de número telefónico

 

Todo en este mensaje es ridículo: desde los errores en el idioma hasta la lógica dudosa, ya que parece ser al mismo tiempo para vincular un número telefónico nuevo y también para enviar un código para restablecer una contraseña. Ni siquiera la palabra “soporte” que utilizan en el correo electrónico le da credibilidad al mensaje: no existe una razón viable por la que la casilla de correo de soporte deba ubicarse en un dominio extranjero (mucho menos uno en China).

Los atacantes esperan que su víctima, con miedo por la seguridad de su cuenta, haga clic en el botón de no enviar el código. Una vez hecho, se redirecciona a un sitio web que simula la página de inicio de sesión de la cuenta, la cual, como te puedes imaginar, solo se roba la contraseña.  Entonces, la cuenta de correo secuestrada puede utilizarse para ataques de tipo BEC o como fuente de información para ataques adicionales mediante ingeniería social.

Qué explicar a los empleados de la empresa

Para minimizar la probabilidad de que los cibercriminales obtengan las credenciales de los empleados, comunícales lo siguiente:

  • Nunca hacer clic en los enlaces de las notificaciones de seguridad automática, ya sea que se vea real o no.
  • Tras recibir una notificación, verificar las configuraciones de seguridad y los detalles vinculados. Para hacerlo, se puede abrir el sitio web en navegador de forma manual.
  • Es mejor ignorar y eliminar una notificación con lenguaje no natural (como en el ejemplo).
  • Si la notificación parece real, informarlo al servicio de IS o al agente de seguridad; podría ser una señal de un ataque dirigido.

Cómo proteger a los empleados de la empresa del phishing

En general, es mejor mantener los correos electrónicos de phishing fuera de las bandejas de entrada de los empleados. Lo ideal es que sean interceptados (además del resto de la correspondencia no deseada, como el spam, los mensajes con archivos adjuntos maliciosos y los correos relativos a BEC) a nivel del mail gateway. Para combatir estas amenazas, recientemente actualizamos nuestra solución de protección de correo electrónico para gateways. Conoce más en la página de Kaspersky Secure Mail Gateway.

Consejos