{"id":19577,"date":"2020-07-06T10:39:31","date_gmt":"2020-07-06T16:39:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19577"},"modified":"2020-07-06T10:39:31","modified_gmt":"2020-07-06T16:39:31","slug":"office-365-credentials-hunt","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/office-365-credentials-hunt\/19577\/","title":{"rendered":"A la caza de cuentas en Office 365"},"content":{"rendered":"

El auge de teletrabajo ha aumentado el inter\u00e9s de los cibercriminales por Office 365, una de las plataformas de colaboraci\u00f3n en la nube m\u00e1s comunes.<\/p>\n

La estrategia b\u00e1sica es muy simple: los cibercriminales atraen a un empleado de la empresa a una p\u00e1gina de inicio de sesi\u00f3n falsa de Office 365 y lo persuaden para que introduzcan sus credenciales. En otras palabras: phishing<\/em>. Los m\u00e9todos m\u00e1s espec\u00edficos por los que los atacantes intentan obtener los nombres de usuario y contrase\u00f1as difieren, pero estos son los trucos m\u00e1s comunes.<\/p>\n

Mensajes falsos por parte de Teams<\/h2>\n

Como regla general, cuando los atacantes env\u00edan un mensaje de correo electr\u00f3nico que intenta parecerse a una notificaci\u00f3n de Microsoft Teams, hacen hincapi\u00e9 en la urgencia, esperando que el destinatario no tenga tiempo de percibir cualquier irregularidad. El motivo general de la notificaci\u00f3n suele estar relacionado con cualquier caso urgente que pueda, por ejemplo, forzar a la v\u00edctima a hacer clic en el bot\u00f3n Responder en Teams<\/em> y termine en una p\u00e1gina de inicio de sesi\u00f3n falsa.<\/p>\n

\"Mensaje

Mensaje falso de Teams. Mensaje y p\u00e1gina de inicio de sesi\u00f3n.<\/p><\/div>\n

\u00a0<\/p>\n

Si los atacantes han hecho su trabajo, aparecer\u00e1 en la notificaci\u00f3n el nombre y la imagen de un compa\u00f1ero real, lo cual podr\u00eda recordar a los BEC internos<\/a>, pero, como norma general, se trata de una persona desconocida. Los cibercriminales estiman que el hecho de que un desconocido tenga un asunto tan urgente generar\u00e1 ansiedad en la v\u00edctima y la obligar\u00e1 a hacer clic en el bot\u00f3n.<\/p>\n

Notificaci\u00f3n de un fallo en la entrega<\/h2>\n

Otro problema falso creado para inculcar un sentido de urgencia en el destinatario es un supuesto error de entrega, por ejemplo, debido a un error de autenticaci\u00f3n. En este caso, la v\u00edctima deb\u00eda hacer clic para acceder al mensaje, pero los atacantes fueron tan perezosos que no consiguieron crear una p\u00e1gina de inicio de sesi\u00f3n de Office 365 veros\u00edmil.<\/p>\n

\"Notificaci\u00f3n

Notificaci\u00f3n de error en la entrega de un mensaje. Mensaje y p\u00e1gina de inicio de sesi\u00f3n.<\/p><\/div>\n

\u00a0<\/p>\n

Evidentemente, la pr\u00f3xima vez podr\u00edan hacer una falsificaci\u00f3n m\u00e1s convincente, en cuyo caso el destinatario tendr\u00eda que recurrir a otros medios para identificar el phishing<\/em><\/a>. Cabe destacar que son los remitentes, y no los destinatarios, los que reciben avisos de errores en la entrega: si el servidor pudiera identificar al destinatario deseado, \u00a1entregar\u00eda el mensaje sin problemas!<\/p>\n

Notificaci\u00f3n de bandeja de entrada llena<\/h2>\n

Otro de los aspectos que lleva a los trabajadores a un error generado por el p\u00e1nico es la notificaci\u00f3n de que la bandeja de entrada est\u00e1 llena, advirtiendo tambi\u00e9n de sus consecuencias nefastas: no poder recibir pr\u00f3ximos mensajes. La opci\u00f3n que se ofrece es eliminar o descargar los mensajes. La mayor\u00eda de las personas optar\u00e1n por esta \u00faltima medida y har\u00e1n clic en el cebo: el bot\u00f3n \u201cHaz clic aqu\u00ed\u201d.<\/p>\n

\"Notificaci\u00f3n

Notificaci\u00f3n de bandeja de entrada llena. Mensaje y p\u00e1gina de inicio de sesi\u00f3n.<\/p><\/div>\n

\u00a0<\/p>\n

Ten en cuenta que en este caso los atacantes hicieron un verdadero esfuerzo insertando un p\u00e1rrafo en el correo electr\u00f3nico sobre la responsabilidad social de la compa\u00f1\u00eda en vistas de la pandemia, aunque no se molestaron en utilizar un ingl\u00e9s comercial m\u00ednimamente convincente. Nuevamente, reaccionar por causa del p\u00e1nico puede hacer generar que se pasen por alto los signos de una comunicaci\u00f3n fraudulenta.<\/p>\n

Notificaci\u00f3n de caducidad de contrase\u00f1a<\/h2>\n

Cambiar una contrase\u00f1a es un procedimiento bastante com\u00fan. La pol\u00edtica de tu empresa debe exigirlo de forma regular y el departamento de seguridad podr\u00eda solicitarlo como precauci\u00f3n contra una posible filtraci\u00f3n. Y, por supuesto, cuando estableces una nueva contrase\u00f1a, debes proporcionar la anterior. Por ello, las solicitudes de cambio de contrase\u00f1a son un recurso b\u00e1sico de los correos electr\u00f3nicos de phishing<\/em>.<\/p>\n

\"Notificaci\u00f3n

Notificaci\u00f3n falsa de caducidad de contrase\u00f1a. Mensaje y p\u00e1gina de inicio.<\/p><\/div>\n

\u00a0<\/p>\n

En este caso, aunque el empleado no perciba el lenguaje descuidado que aparece en el correo electr\u00f3nico, la p\u00e1gina de inicio de sesi\u00f3n no deber\u00eda pasar la prueba a simple vista.<\/p>\n

C\u00f3mo evitar caer en la trampa<\/h2>\n

Recuerda que la informaci\u00f3n de la cuenta puede no solo desbloquear la capacidad de enviar correos electr\u00f3nicos desde la direcci\u00f3n de un empleado, sino tambi\u00e9n el acceso a toda la informaci\u00f3n acumulada en el buz\u00f3n. Por tanto, cualquier p\u00e1gina que solicite las credenciales de la cuenta corporativa merece un escrutinio exhaustivo, incluso aunque (sobre todo si) est\u00e1n presionando para que se act\u00fae r\u00e1pidamente. Todo lo que necesitas seguir son estos dos consejos:<\/p>\n