Cuidado con las campañas de phishing que tratan de robar credenciales de cuentas de correo corporativo

Las sucesivas campañas destinadas al robo de información personal que llevamos observando durante todo 2021 no descansan, tal y como hemos podido comprobar durante los últimos días. Los delincuentes usan todo tipo de estrategias, desde ficheros adjuntos con supuestas facturas que contienen malware hasta phishing bancario más clásico (aunque cada vez más elaborado), sin olvidar otras técnicas más simples pero igualmente efectivas como la que vamos a ver hoy.

Verificaciones de correo electrónico

Desde hace algunos días se están detectando una serie de correos electrónicos enviados desde direcciones legítimas y que nos invitan a verificar nuestra cuenta de correo para evitar perder el acceso a la misma. El cuerpo de mensaje difiere dependiendo de la campaña analizada, pudiendo encontrarnos, por ejemplo, con falsos avisos de accesos no autorizados a nuestro email.

Este es solo uno de los ejemplos más recientes que hemos analizado, pero hay más como los correos que nos alertan de que hay emails pendientes de ser recibidos porque, supuestamente, están atascados en el servidor. Para solucionar esta falsa incidencia, los delincuentes solicitan que accedamos con nuestras credenciales para poder recibirlos.

El problema de estos correos es que no son fácilmente detectables por los usuarios menos preparados, e incluso pueden llegar a engañar a aquellos usuarios más acostumbrados a lidiar con phishing. Su redacción está bien hecha y utilizan cuentas de correo legítimas previamente comprometidas. Entre los emisores de estos mensajes hemos detectado desde empresas de venta online de artículos relacionados con bicicletas hasta ayuntamientos españoles, pasando por cuentas oficiales relacionadas con fuerzas policiales de un país de Latinoamérica.

Robo de credenciales

El procedimiento que utilizan los delincuentes para robar las credenciales de correo es muy sencillo, ya que los enlaces proporcionados en los correos electrónicos enviados redirigen a webs muy sencillas alojadas en sitios que han sido previamente comprometidos por los atacantes. En estas webs podemos ver como se solicitan las direcciones de correo electrónico y las contraseñas a los usuarios que accedan a ellas.

Seguidamente, se muestra una pantalla indicando que la información ha sido enviada pero no al departamento encargado de gestionar las cuentas de correo sino a los delincuentes que hay detrás de estas campañas.

En otros casos recientes similares hemos visto como los delincuentes han preparado primero una ventana de alerta para tratar de darle más credibilidad a su campaña de phishing. En esta ventana de alerta se indica que hay disponible una nueva interfaz de buzón para el correo electrónico y que es necesario iniciar de nuevo sesión.

Tras ese aviso, se nos muestra una ventana donde se solicitan las credenciales de acceso al correo electrónico, credenciales que, de ser introducidas, caerán en mano de los delincuentes, que podrán usarlas con varias finalidades.

Cabe destacar que este tipo de campañas de robo de credenciales están especialmente dirigidas a cuentas corporativas, que son las que más interesan a los delincuentes para realizar otro tipo de acciones maliciosas una vez han conseguido robar las contraseñas. Con estas credenciales se pueden preparar ataques más dirigidos contra otros usuarios de la misma empresa o incluso a clientes y proveedores, tal y como hemos visto en numerosas ocasiones durante este año.

Estas credenciales robadas pueden ser usadas también para preparar ataques contra objetivos específicos dentro de la empresa y conseguir así que se transfieran importantes cantidades de dinero a una cuenta bancaria controlada por los delincuentes. Es lo que se conoce como fraude del CEO, una estafa que ha generado millones de euros en beneficio para los delincuentes y que sigue estando muy presente.

Conclusión

Este tipo de campañas pueden ser el inicio de un ataque mucho mas grave a todo tipo de empresas por lo que no debemos menospreciarlas. Para evitar que un robo de credenciales provoque más daños en nuestra empresa podemos empezar por fortalecer nuestras medidas de seguridad de acceso al correo electrónico, por ejemplo, con una solución de doble factor de autenticación que evitará los accesos no autorizados a los buzones corporativos aun teniendo las credenciales.

Josep Albors

Vulnerabilidad Log4Shell: lo que sabemos hasta el momento