¿Factura de BeeDigital? Cuidado con este phishing que trata de robar tus credenciales

A la hora de revisar el correo en nuestra cuenta profesional es probable que todos los días nos encontremos con bastantes ejemplos de correo no deseado o, directamente malicioso. Esta probabilidad se incremente si nuestro trabajo está relacionado con una actividad que maneje muchas facturas y presupuestos, como suele ser habitual en los departamentos de administración, compras y ventas de la mayoría de empresas españolas. Los delincuentes son conscientes del elevado volumen de correos que manejan estos usuarios y, por ese motivo, generan campañas de suplantación de identidad cada vez más creíbles para conseguir sus objetivos.

Email suplantando a BeeDigital

En el caso que nos atañe hoy vamos a revisar una campaña de correos que se están propagando en España y que suplantan la identidad de BeeDigital, una conocida empresa especializada en ofrecer servicios de marketing y soluciones digitales para pymes. Este correo está bien diseñado y es probable que más de un usuario que lo haya recibido piense a primera vista que se trata de un email legítimo, ya que los delincuentes han tenido en cuenta varias cosas para hacerlo más creíble.

Para empezar, han utilizado un correo corporativo como remitente que resulta muy creíble y que, salvo análisis previo de la cabecera del email puede pasar por auténtico para la gran mayoría. También observamos que han utilizado una plantilla que incluye teléfonos y webs de contacto así como un logotipo de la empresa aunque, como veremos a continuación, este logotipo no es el más actual usado por la empresa suplantada.

Sin embargo, lo que más nos interesa de ese correo y que más nos puede hacer sospechar es el enlace al que redirige cuando situamos el cursos sobre la opción de “Ver la factura”. Si nos fijamos, observaremos que se trata de un enlace acortado, lo que impide ver cual es la ubicación final de la URL a la que se nos quiere dirigir.

Una vez accedemos a la web a través del enlace acortado proporcionado en el correo, vemos que esta resulta bastante similar a la web legítima de la empresa suplantada. Los delincuentes han tratado incluso de registrar un dominio similar al legítimo para no levantar demasiadas sospechas y han incluido un certificado de seguridad para que el navegador muestre el candado de seguridad que indica que la conexión entre nuestro dispositivo y la web es segura, pero no que la web lo sea.

En esta web se solicitan las credenciales de acceso, credenciales que, de introducirlas, pasarán a manos de los delincuentes. Resulta curioso comprobar cómo, si pulsamos en alguno de los iconos asociados a redes sociales y servicios online, nos saldrá una plantilla por defecto donde también se nos pedirán las credenciales de acceso. Imaginamos que los delincuentes lo han incluido también para tratar de maximizar su beneficio.

A la hora de revisar este tipo de webs fraudulentas un dato que aporta información interesante es la fecha de creación del dominio utilizado por los delincuentes para alojar la web fraudulenta. En este caso en concreto vemos que el registro se produjo hace apenas 15 días, por lo que, difícilmente estaremos ante una web que pertenezca a una empresa con cierto recorrido en el sector.

Como vemos, aunque el correo esté bien redactado y la plantilla del email y la web puedan parecer legítimas, aún podemos guiarnos por algunos detalles que nos pueden ayudar a identificar webs fraudulentas. No obstante, también podemos encontrarnos con casos en los que sea más difícil identificar el engaño, por lo que siempre resulta muy recomendable tratar de confirmar la recepción de posibles facturas y presupuestos hablando directamente con el emisor y accediendo a plataformas bancarias o de pagos directamente desde el navegador y sin seguir enlaces incluidos en correos como el que acabamos de analizar.

Conclusión

Aunque podemos llegar a identificar los fallos cometidos por los delincuentes en campañas de este tipo, no debemos descartar la posibilidad de que más usuarios de los que pensamos caigan en este tipo de trampas. Las prisas o la falta de conocimientos pueden jugar en su contra y eso es algo que los delincuentes van a tratar de aprovechar siempre que puedan, por lo que siempre es buena idea aprender a identificar los puntos claves que nos pueden evitar un problema derivado del robo de credenciales.

Josep Albors

ESET España en Cyber Security Summit el próximo 21 de febrero