Tal y como venimos observando desde hace meses, el robo de credenciales es una tendencia al alza, especialmente en España. Los delincuentes intentan hacerse con los usuarios y contraseñas de varios servicios para, posteriormente, venderlas o usarlas en ataques de acceso inicial a redes corporativas. Entre las credenciales más buscadas se encuentran las que permiten acceder a las cuentas de correo de empleados, algo que hemos vuelto a comprobar tras revisar tres campañas diferentes que se han estado propagando en las últimas horas.
Tres correos fraudulentos con la misma finalidad
A la hora de intentar robar credenciales, los delincuentes pueden optar por varias técnicas que van desde el envío de malware capaz de robar credenciales almacenadas en varias aplicaciones de uso frecuente en empresas hasta pedir directamente que el usuario introduzca sus contraseñas, como en los casos que vamos a revisar a continuación. Estos correos tratan de convencer al usuario de varias formas para que acceda a un enlace preparado por los delincuentes donde se solicitarán sus credenciales de correo. En uno de los casos vemos que se utiliza como gancho la necesidad de revisar un número de correos que han se han quedado en la cuarentena del buzón de correo.
Otro de los ejemplos de este tipo de correos recibidos en las últimas horas utiliza un falso aviso donde se le indica al usuario que su cuenta será desactivada próximamente si no se registra en la nueva versión de su buzón de correo. En este correo se llega incluso a mencionar la empresa para la que trabaja el empleado que recibe el correo para darle mayor veracidad.
El último de los correos de este estilo enviado en las últimas horas está escrito en español y nos alerta de que la contraseña de nuestro buzón de correo expirará en breve, pero nos da la oportunidad de seguir usando la contraseña actual si se accede al enlace proporcionado y la introducimos.
Como vemos, este tipo de correos buscan generar cierta sensación de urgencia en el receptor del mensaje para que actúe rápidamente y no se pare a pensar en si el correo ha sido enviado por un remitente legítimo, o si la web a la que se accede pertenece a su empresa. Dependiendo de la campaña, los delincuentes pueden personalizar o no la web donde se solicitan las credenciales de correo (con logos de la empresa e incluso sus colores corporativos), aunque lo habitual es que se observe una plantilla neutra en la mayoría de ocasiones.
En el caso de que el usuario muerda el anzuelo, sus credenciales de correo serán recopiladas por los delincuentes y usadas en ataques posteriores.
Uso de credenciales robadas
Una vez los delincuentes se han hecho con las credenciales de correo, estas suelen ser usadas principalmente para suplantar la identidad de la víctima y usar su email con fines maliciosos. Esto incluye el envío de correos a sus compañeros de empresa, clientes o proveedores con ficheros adjuntos o enlace a la descarga de archivos que suelen estar infectados y que, a su vez, pueden ser utilizados para continuar con el robo de credenciales o, en casos más graves, comprometer la seguridad y la información de los dispositivos que infecta.
Un uso habitual de estas cuentas de correo robadas incluye las estafas en las que los delincuentes se hacen pasar por la persona a la que han robado las credenciales, y en el caso de que este empleado se encargue de tareas de cobro y facturación, proceden a enviar emails a clientes o proveedores adjuntando facturas pendientes de pago pero incluyendo una cuenta bancaria controlada por los delincuentes o alguno de sus muleros. En ocasiones vemos como incluso se incluye una cadena de mensajes previamente contestados para dar más credibilidad a la persona que recibe el correo desde la cuenta comprometida.
Sin embargo, uno de los peores escenarios a los que se puede enfrentar una empresa donde se haya producido un robo de credenciales de correo o de otros servicios de algún empleado es aquel donde los delincuentes utilizan estas contraseñas para reconocer la red corporativa, los usuarios existentes e incluso enviar malware que sirva como cabeza de puente para ataques posteriores. Estos ataques pueden incluir movimientos laterales hasta llegar a máquinas clave como controladores de dominio o servidores de fichero que pueden facilitar el robo de información confidencial y el cifrado de sistemas de toda la red corporativa.
Conclusión
Como hemos visto, no hace falta que los delincuentes se compliquen excesivamente la vida para conseguir robar credenciales de correo. Con solo un correo enviado de forma masiva a varias empresas pueden hacer que varios empleados caigan en la trampa y eso puede ser solo el comienzo de los problemas, por lo que debemos protegernos con soluciones de seguridad que impidan que estos correos lleguen siquiera a la bandeja de entrada de los usuarios.