Tras un mes de marzo en el que los centros de la empresa OVH en Estrasburgo sufrieron importantes incendios que afectaron al correcto funcionamiento de muchas empresas alrededor del mundo, ahora vemos como los delincuentes tratan de aprovechar la situación lanzando una campaña de phishing para intentar obtener credenciales de correo electrónico.
Comunicación urgente
Esta campaña de suplantación de identidad habría pasado como otra más si no se hubiera realizado poco tiempo después tras los incendios acontecidos el mes pasado. Con bastantes clientes de OVH tratando aún de recuperar algunos de sus datos almacenados en los sistemas afectados, es bastante posible que aquellos que reciban el correo que mostramos a continuación se muestren más dispuestos a pulsar sobre el enlace proporcionado si son clientes de dicha empresa.
En esta ocasión podemos ver como los responsables de enviar este correo suplantando a la compañía se han tomado la molestia de hacerlo bastante convincente. Podemos ver como la supuesta dirección del remitente coincide con el nombre de la empresa suplantada y puede pasar por verídico a menos que lo revisemos a fondo. Recordemos que es muy sencillo para un atacante mostrar la dirección que se desee como remitente, y que aunque se puede comprobar la dirección real de envío, para eso se deben revisar las cabeceras del correo.
El asunto y la importancia asignada al mensaje también pueden causar que el receptor de este correo baje la guardia y realmente piense que está ante un aviso de su proveedor de correo electrónico. OVH es usado por no pocas empresas, por lo que el objetivo de este email parecería ser el de obtener credenciales pertenecientes al ámbito corporativo.
Si se pulsa sobre el enlace proporcionado seremos redirigidos a una web preparada por los delincuentes, web que se han preocupado de nombrar con un dominio que tenga relación con la empresa suplantada.
Además, los delincuentes se han preocupado de incluir información acerca de la empresa y medios de contacto para hacer más creíble esta web, por lo que muchos de los que accedan a esta web no notarán diferencia con respecto a una web legítima perteneciente a OVH.
Descubriendo el engaño
Siempre debemos tener mucho cuidado con este tipo de correos que nos solicitan credenciales de acceso a varios tipos de servicios online, especialmente si estos están relacionados con nuestra empresa. Ante cualquier mensaje de este tipo, lo primero es evitar pulsar sobre cualquier enlace o fichero adjunto y avisar a la persona que esté encargada de la seguridad en nuestra empresa.
Sobre cómo detectar este tipo de engaños, al revisar información acerca de la web donde se nos redirige, observamos que contiene un certificado de seguridad válido pero este ha sido emitido por la empresa Let’s Encrypt y resulta extraño que una empresa como OVH haga uso de un certificado gratuito como ese. Además, la fecha de emisión de ese certificado es de un día antes de recibir el email, con lo que nuestras sospechas de encontrarnos ante una suplantación de identidad están más que fundadas.
Si además revisamos la información relacionada con el dominio usado para alojar el formulario donde se solicitan las credenciales de correo, vemos como este se registró hace pocos días y, además, la dirección IP del servidor en el que se aloja se encuentra en San Petersburgo, Rusia. Este es un indicador que debería activar varias alarmas, ya que OVH es una empresa francesa y resulta extraño que utilice un servidor ruso para el alojamiento de sus webs.
Como detalle final, en el caso de que el usuario introduzca sus credenciales en el formulario proporcionado, este será redirigido a continuación a la web legítima de OVH, para así no levantar sospechas en la víctima hasta que sea demasiado tarde.
Como vemos, se trata de un caso de phishing un poco más elaborado de lo que acostumbramos ver y dirigido principalmente a usuarios corporativos. Sin embargo, no debemos olvidar que preparar el correo y las webs fraudulentas tampoco es algo que les cueste en exceso a los delincuentes e incluso pueden hacer este tipo de ataques más dirigidos y convincentes.
Conclusión
Es posible que la suplantación de OVH en esta campaña de phishing haya sido coincidencia o que los delincuentes realmente quieran aprovechar los incidentes sufridos recientemente por esta empresa para tratar de robar credenciales de sus usuarios. En cualquier caso, debemos permanecer alerta ante cualquier tipo de correo no solicitado y consultar previamente a aquellas personas encargadas de la seguridad de nuestra empresa antes de seguir las instrucciones expuestas por uno de estos emails.