El robo de credenciales es una de las amenazas que más ha aumentado durante los últimos meses. Concretamente, el robo de aquellas credenciales relacionadas con servicios y aplicaciones corporativas que son usadas por los empleados de las empresas, ya se encuentren trabajando desde la oficina o en sus casas. Unas de las credenciales más preciadas por los delincuentes son las que permiten acceder a las cuentas de correo, tal y vamos a ver en el artículo a continuación.
“Verifique esta dirección”
En el caso que vamos a analizar en este post observamos como, aun valiéndose de una técnica sencilla, los delincuentes pueden robar credenciales de correo electrónico de usuarios poco precavidos, credenciales que luego pueden usarse en ataques más elaborados y que pueden poner en peligro la integridad de la información de las empresas. Todo empieza con un correo como el que vemos a continuación:
Tal y como podemos observar, en dicho email se nos indica que nuestra cuota del buzón de correo ha excedido el límite establecido y que para evitar la suspensión de la cuenta es necesaria realizar una verificación. Para ello se proporciona un enlace que nos redirigirá a una web donde, supuestamente, realizar esta verificación, pero detengámonos antes a revisar el email recibido.
Si nos fijamos en el remitente vemos que tanto la dirección como su nombre ya deberían hacernos levantar alguna sospecha. Se trata de un correo enviado supuestamente por alguien que trabaja en una empresa extranjera, algo poco lógico, ya que un aviso de este tipo debería provenir desde nuestro departamento interno de sistemas o, en todo caso, de la empresa encargada de prestar estos servicios.
Además, en la construcción del mensaje si bien no se observan faltas flagrantes de ortografía sí que notamos como este ha sido redactado en una especie de español neutro, muy probablemente haciendo uso de algún sistema de traducción automático. Al final, lo que se pretende es crear una sensación de necesidad para que el usuario que reciba el mensaje ignore estas señales de advertencia y pulse sobre el enlace proporcionado.
Robo de credenciales
La finalidad de este tipo de ataques está clara y no es otra que la de recopilar credenciales de acceso a todo tipo de servicios online. En esta ocasión parece que los delincuentes se han centrado en obtener credenciales de acceso a Outlook Web App (OWA), algo que les permitiría no solo acceder a los correos de la víctima o su calendario y contactos, sino también suplantar su identidad y enviar mensajes en su nombre a otros usuarios.
El potencial de los ataques derivados de la obtención de credenciales de servicios de correo en la nube como este es bastante elevado, ya que los delincuentes pueden buscar entre los contactos de la víctima y preparar un email personalizado a objetivos concretos usando, por ejemplo, documentos ofimáticos infectados que no suelen levantar sospechas. De esta forma pueden llegar a comprometer los servicios críticos de la empresa y, tal y como hemos observado en numerosas ocasiones durante los últimos meses, robar información confidencial y cifrarla para, seguidamente, solicitar un rescate.
En esta ocasión, los delincuentes han optado por alojar su web de acceso fraudulenta en un servicio de creación de páginas web, en lugar de comprometer una web legítima o registrar un dominio específico. Es posible que lo hayan hecho para tratar de evadir la detección de esta web como phishing, pero de poco les ha servido, ya que pocas horas después de detectarse esta web, ya ha sido dado de baja por la empresa que ofrece el servicio de creación y alojamiento.
Conclusión
A pesar de tratarse de una amenaza muy veterana, la suplantación de identidad de empresas y servicios de todo tipo es algo que sigue funcionándoles muy bien a los delincuentes actualmente. No hay más que revisar la gran cantidad de casos analizados en nuestro laboratorio recientemente para comprobar como esta amenaza está a la orden del día. Por ese motivo es importante revisar tanto los correos que recibimos como los posibles enlaces y ficheros adjuntos que incluyan, desconfiando de aquellos emails que no hayan sido solicitados (aunque provengan de remitentes de confianza) y contando con una solución de seguridad que permita detectar estas suplantaciones.