{"id":21707,"date":"2021-04-21T14:46:04","date_gmt":"2021-04-21T20:46:04","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21707"},"modified":"2021-04-21T14:46:04","modified_gmt":"2021-04-21T20:46:04","slug":"office-phishing-html-attachment","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/office-phishing-html-attachment\/21707\/","title":{"rendered":"Trucos de phishing con Microsoft Office"},"content":{"rendered":"

Si los cibercriminales tienen acceso a una cuenta de correo electr\u00f3nico corporativo pueden realizar ataques que comprometan un correo electr\u00f3nico empresarial<\/a>. Es por esto que vemos muchas cartas de phishing<\/em> dirigidas a usuarios corporativos para iniciar sesi\u00f3n en los sitios web que simulan ser la p\u00e1gina de inicio de MS Office. Y esto significa que es muy importante saber a qu\u00e9 hay que ponerle atenci\u00f3n si un enlace te redirige a una p\u00e1gina como esa.<\/p>\n

Los cibercriminales que roban credenciales para cuentas de Microsoft Office no son nada nuevo<\/a>. Sin embargo, los m\u00e9todos que los atacantes emplean cada vez son m\u00e1s avanzados. El d\u00eda de hoy vamos a tomar como ejemplo un caso del mundo real (una carta que s\u00ed recibimos) para demostrar las mejores pr\u00e1cticas y describir algunos trucos nuevos.<\/p>\n

Nuevo truco de phishing<\/em>: Archivo adjunto HTML<\/h2>\n

En general, una carta de phishing<\/em> incluye un hiperv\u00ednculo a un sitio web falso. Esto es algo que siempre decimos: es necesario examinar los hiperv\u00ednculos con cuidado, tanto en su aspecto general como en las direcciones web a las que redirigen (pasar el cursor sobre la URL revela la direcci\u00f3n objetivo en la mayor\u00eda de clientes de correo e interfaces web). Sin duda, una vez que las personas hicieron de esta precauci\u00f3n un h\u00e1bito, los suplantadores de identidad ya no inclu\u00edan enlaces, sino archivos HTML, cuyo \u00fanico prop\u00f3sito es automatizar el redireccionamiento.<\/p>\n

Al hacer clic, el archivo adjunto HTML se abre en un navegador. En cuanto al aspecto del phishing<\/em>, el archivo solo contiene una l\u00ednea de c\u00f3digo (javascript: window.location.href) con la direcci\u00f3n del sitio web de suplantaci\u00f3n de identidad (phishing<\/em>) como variable. Obliga al navegador a abrir el sitio web en la misma ventana.<\/p>\n

Qu\u00e9 debes buscar en una carta de phishing<\/em><\/h2>\n

Haciendo a un lado las nuevas t\u00e1cticas, el phishing<\/em> no cambia, as\u00ed que comienza con la carta misma. Esta es la carta real que recibimos. En este caso, es una notificaci\u00f3n falsa de mensaje de voz:<\/p>\n

\"Una<\/p>\n

Antes de hacer clic en el archivo adjunto, hay que hacernos algunas preguntas:<\/p>\n

    \n
  1. \u00bfConoces al remitente? \u00bfQu\u00e9 tan probable es que el remitente te deje un mensaje de voz en el trabajo?<\/li>\n
  2. \u00bfEs pr\u00e1ctica com\u00fan en tu empresa enviar mensajes de voz por correo electr\u00f3nico? No es que se utilice mucho ahora, pero Microsoft 365 no ha tenido soporte de correo de voz desde enero de 2020.<\/li>\n
  3. \u00bfTienes claro desde qu\u00e9 aplicaci\u00f3n se envi\u00f3 la notificaci\u00f3n? MS Recorder no es parte del paquete de Office; y, en cualquier caso, la aplicaci\u00f3n de grabaci\u00f3n de voz predeterminada de Microsoft, la cual en teor\u00eda podr\u00eda enviar mensajes de voz, se llama Grabadora de voz, no MS Recorder.<\/li>\n
  4. \u00bfEl archivo adjunto parece un archivo de audio? Con Grabadora de voz se puede compartir grabaciones de voz, pero se env\u00edan como archivos .m3a. Incluso si la grabaci\u00f3n proviene de una herramienta desconocida y se almacena en un servidor, deber\u00eda incluir un enlace a \u00e9sta, no un archivo adjunto.<\/li>\n<\/ol>\n

    En resumen: Recibimos una carta de un remitente desconocido que supuestamente entrega un mensaje de voz (una herramienta que nuca usamos) que fue grabado con un programa desconocido, enviada como una p\u00e1gina web adjunta. \u00bfVale la pena intentar abrirla? Definitivamente no.<\/p>\n

    C\u00f3mo reconocer una p\u00e1gina de phishing<\/em><\/h2>\n

    Vamos a suponer que hiciste clic en el archivo adjunto y te llev\u00f3 a una p\u00e1gina de phishing<\/em>. \u00bfC\u00f3mo puedes saber que no es un sitio leg\u00edtimo?<\/p>\n

    \"UnaEn esto debes fijarte:<\/p>\n

      \n
    1. \u00bfEl contenido de la barra de direcciones parece una direcci\u00f3n de Microsoft?<\/li>\n
    2. \u00bfLos enlaces para \u201c\u00bfProblemas para acceder a su cuenta?\u201d e \u201cIniciar sesi\u00f3n con una clave de seguridad\u201d te redirigen a donde deber\u00edan? Incluso en una p\u00e1gina de phishing<\/em>, es posible que s\u00ed te lleven a p\u00e1ginas reales de Microsoft, aunque en nuestro caso, estaban inactivos, que es una se\u00f1al clara de fraude.<\/li>\n
    3. \u00bfLa ventana se ve bien? En general, Microsoft no tiene problemas con detalles como la escala de la imagen de fondo. Y, si bien, los problemas t\u00e9cnicos le pasan a todos, las anomal\u00edas deber\u00edan ponerte alerta.<\/li>\n<\/ol>\n

      En cualquier caso, si tienes dudas, visita https:\/\/login.microsoftonline.com\/<\/a> para que sepas c\u00f3mo se ve la p\u00e1gina real de inicio de sesi\u00f3n de Microsoft.<\/p>\n

      C\u00f3mo evitar caer en la trampa<\/h2>\n

      Para evitar ceder las contrase\u00f1as de tu cuenta de Office a atacantes desconocidos:<\/p>\n