Los cibercriminales van tras las listas de correo

Los cibercriminales están enviando mensajes de correo de phishing para secuestrar el acceso a las cuentas de los proveedores de servicios de correo electrónico (ESP).

Es peligroso cuando los consumidores piensan que no son de interés para los cibercriminales, pero es aún peor cuando los dueños de pymes piensan similar. A los criminales les conviene que se descuide la protección básica; sus objetivos no son siempre los que esperarías. Un ejemplo viene de un mensaje que cayó recientemente en nuestra trampa de correo: el phishing dirigido a secuestrar las cuentas del proveedor de servicios de correo electrónico (ESP, por sus siglas en inglés) para obtener listas de correo.

 

Cómo funciona el phishing del servicio de correo

El fraude comienza cuando un empleado de la empresa recibe la confirmación de pago por una suscripción a un ESP. El enlace en el mensaje supuestamente le da al destinatario acceso a un comprobante de compra. Si el destinatario es en realidad un cliente de un ESP (y el phishing sí se dirige contra clientes reales), entonces probablemente harán clic con la esperanza de esclarecer este pago anormal.

Aunque el hipervínculo parece llevar a la página del ESP, en realidad conduce a un lugar completamente diferente. Tras hacer clic, la víctima se ve dirigida a un sitio falso que luce muy similar a la página legítima de inicio de sesión.

Las dos pantallas de inicio de sesión. La página falsa está a la izquierda.

Las dos pantallas de inicio de sesión. La página falsa está a la izquierda.

 

En este punto, a los lectores no debería sorprenderles saber que todos los datos ingresados en la página falsa de inicio de sesión van a parar directamente a los cibercriminales detrás del fraude. Notemos, sin embargo, que además de las indicaciones erróneas, el sitio falso transmite los datos que recopila a través de un canal no protegido. Los atacantes no se molestan siquiera en replicar el CAPTCHA, aunque sí insertaron un ejemplo en un campo de correo electrónico. Asimismo, deberíamos ver una bandera en la esquina inferior derecha. Pero la mayoría de los usuarios no puede detectar las diferencias.

 

Por qué es peligroso perder acceso a la cuenta de ESP

En el mejor de los casos, al apoderarse de una cuenta de ESP, los atacantes pueden usar la lista de direcciones del cliente correo electrónico para enviar spam. Sin embargo, las listas de correo de ciertas industrias alcanzan un valor más alto en el mercado negro que las simples recopilaciones al azar de direcciones de correo electrónico. El que los cibercriminales sepan a qué sector pertenece la empresa les ayuda a personalizar su spam.

Dada la especialidad en phishing de los cibercriminales, es probable que todos en la lista de correo recibirán mensajes de phishing que parecen venir de la empresa. En este punto, ya sea que el destinatario se haya suscrito a un boletín o sea un cliente real, es probable que abran el mensaje, lo lean e incluso hagan clic en el enlace. El remitente no luce sospechoso.

 

Métodos de enmascaramiento

Tras estudiar detenidamente el correo de phishing, hemos hallado que se envió mediante un servicio de correo, pero se trataba de uno diferente (un competidor del ESP desde el cual supuestamente provenía). Para conocer la razón detrás de esa decisión, lee nuestra publicación “Phishing mediante servicios de e-mail marketing.” Curiosamente, para prolongar la duración de la campaña, los cibercriminales incluso crearon una página de inicio para su “firma de marketing” (no obstante, el título de la página, “Simple House Template,” no es especialmente convincente).

 

Una página de inicio para la "firma de marketing" falsa.

Una página de inicio para la “firma de marketing” falsa.

 

Lo anterior sugiere que los atacantes pudieron haber afinado su conocimiento sobre los mecanismos de varios servicios de correo, y puede ser que también ataquen otros clientes de ESP.

 

Cómo protegerte contra el phishing

Para evitar ser víctima, sigue los consejos estándares:

  • Evita hacer clic en los enlaces de mensajes no esperados, especialmente los que te pidan iniciar sesión en un servicio. Incluso si el mensaje luce legítimo, abre un navegador e ingresa manualmente el nombre del sitio.
  • Verifica la seguridad del sitio. Si tu navegador no reconoce la seguridad del sitio, entonces alguien puede interceptar tu nombre de usuario y contraseña.
  • Aprende a detectar los signos estándares de phishing y enséñale a tu personal a hacer lo mismo. No necesitas diseñar tus propias clases; las plataformas de capacitación online están disponibles para este fin.
  • Usa soluciones especializadas para filtrar el spam y el phishing del correo corporativo.
  • Instala y actualiza las soluciones de seguridad en todos los dispositivos, de modo que incluso si alguien hace clic en un enlace de phishing, se podrá evitar el peligro.
Consejos