El robo de credenciales es una tendencia al alza, especialmente en España. Los delincuentes intentan hacerse con el usuario y contraseña de varios servicios para, posteriormente, venderlas o usarlas en ataques de acceso inicial a redes corporativas. Entre las credenciales más codiciadas se encuentran las que permiten acceder a las cuentas de correo de empleados. En ESET, empresa de ciberseguridad líder en Europa, hemos vuelto a comprobar estos hechos en tres campañas diferentes que se han estado propagando en los últimos días.
Tres correos fraudulentos con la misma finalidad
En el robo de credenciales, los ciberdelincuentes pueden optar por varias técnicas que van desde el envío de malware, capaz de robar credenciales almacenadas en varias aplicaciones de uso frecuente en empresas, hasta pedir directamente que el usuario introduzca sus contraseñas.
Estos correos tratan de convencer al usuario de varias formas para que acceda a un enlace preparado por los delincuentes donde se solicitarán sus credenciales. En uno de los casos, comprobamos que se utiliza como gancho la necesidad de revisar un número de correos que se han quedado en la cuarentena del buzón de correo.
Otro de los ejemplos de este tipo de correos recibidos en las últimas horas utiliza un falso aviso donde se le indica al usuario que su cuenta será desactivada próximamente si no se registra en la nueva versión de su buzón de correo. En este correo se llega incluso a mencionar la empresa para la que trabaja el empleado que recibe el correo para darle mayor veracidad.
El último de los correos de este estilo enviado en las últimas horas está escrito en español y nos alerta de que la contraseña de nuestro buzón de correo expirará en breve, pero nos da la oportunidad de seguir usando la contraseña actual si se accede al enlace proporcionado y la introducimos.
Este tipo de correos buscan generar cierta sensación de urgencia en el receptor del mensaje para que actúe rápidamente y no se pare a pensar si el correo ha sido enviado por un remitente legítimo, o si la web a la que se accede pertenece a su empresa. Dependiendo de la campaña de phishing, los delincuentes pueden personalizar o no la web donde se solicitan las credenciales, incluyendo logos y colores corporativos.
En el caso de que el usuario caiga en la trampa, sus credenciales de correo serán recopiladas por los delincuentes y usadas en ataques posteriores.
Uso de credenciales robadas: posibles escenarios
Una vez que los delincuentes hayan conseguido las credenciales de correo, estas suelen ser usadas principalmente para suplantar la identidad de la víctima y usar su mail con fines maliciosos. Esto incluye el envío de correos a sus compañeros de empresa, clientes o proveedores con ficheros adjuntos o enlace a la descarga de archivos que suelen estar infectados y que, a su vez, pueden ser utilizados para proseguir con el robo de credenciales o, en casos más graves, comprometer la seguridad y la información de los dispositivos que infecta.
Un uso habitual de estas cuentas de correo robadas incluye las estafas en las que los delincuentes se hacen pasar por la persona a la que han robado las credenciales, y en caso de que este empleado se encargue de tareas de cobro y facturación, proceden a enviar mails a clientes o proveedores adjuntando facturas pendientes de pago, pero incluyendo una cuenta bancaria controlada por los delincuentes. En ocasiones, incluso incluyen una cadena de mensajes previamente contestados para dar más credibilidad a la persona que recibe el correo desde la cuenta comprometida.
Sin embargo, uno de los peores escenarios a los que se puede enfrentar una empresa donde se haya producido un robo de credenciales de este tipo es aquel donde los ciberdelincuentes utilizan estas contraseñas para reconocer la red corporativa, los usuarios existentes e incluso enviar malware que sirva como cabeza de puente para ataques posteriores. Estos ataques pueden incluir movimientos laterales hasta llegar a máquinas clave como controladores de dominio o servidores de fichero que pueden facilitar el robo de información confidencial y el cifrado de sistemas de toda la red corporativa.
En palabras de Josep Albors, director de investigación y concienciación de ESET España: “Como hemos visto, no hace falta que los delincuentes se compliquen excesivamente la vida para conseguir robar credenciales de correo. Con solo un correo enviado de forma masiva a varias empresas pueden hacer que varios empleados caigan en la trampa y eso puede ser solo el comienzo de los problemas, por lo que debemos protegernos con soluciones de seguridad que impidan que estos correos lleguen siquiera a la bandeja de entrada de los usuarios”.
Josep Albors