“Solicitud de cotización” Así suplantan los delincuentes a Microsoft OneDrive para robarte las credenciales

Desde hace tiempo, muchas de las campañas preparadas por ciberdelincuentes y atacantes suelen centrarse en obtener las credenciales de acceso a varios servicios y sistemas para, posteriormente, preparar ataques más dirigidos. Esta obtención de contraseñas pude hacerse de varias formas como, por ejemplo, usando códigos maliciosos especializados o utilizando tácticas más sencillas pero igualmente efectivas como el phishing.

Correo sospechoso redirige a web fraudulenta

Cuando hablamos de phishing o suplantación de identidad, seguramente nos vengan a la cabeza correos y páginas webs suplantando a todo tipo de empresas y organizaciones sobradamente conocidas. Sin embargo, esta suplantación también puede hacerse con empresas menos conocidas e incluso los atacantes pueden usar correos que han sido comprometido previamente para hacerse pasar por remitentes legítimos y resultar así más convincentes.

Veamos un caso reciente donde se nos envía una solicitud para revisar unos presupuestos desde una empresa de México.

Si nos fijamos en detalles como el remitente o la firma que se adjunta al final del cuerpo del mensaje, nada nos hace pensar a primera vista que estamos ante una suplantación de identidad y este email podría perfectamente haber salido desde una cuenta de correo legítima. Además, se incluyen lo que parecen capturas de pantalla de varios presupuestos, capturas que están preparadas para llamar la atención y conseguir que la víctima pulse sobre ellas.

Al tratarse de una empresa de fuera de España es probable que algunos usuarios desconfíen de este correo, pero no debemos olvidar a aquellos usuarios más impulsivos que, curiosos por saber a que tipo de presupuestos se refiere este correo, pulse sobre las imágenes, siendo redirigido a una web preparada por los atacantes. No obstante, en caso de contar con una solución de seguridad instalada en nuestro equipo o incluso el propio navegador web, es probable que nos avise de un intento de phishing, tal y como sucede en esta ocasión.

Si, por el contrario, el usuario logra acceder a la web preparada por los delincuentes, se encontrará con una página que intenta imitar al servicio de almacenamiento de ficheros de Microsoft OneDrive. En esta web fraudulenta podemos observar como los delincuentes han preparado unos documentos como señuelo a los que no se puede acceder a menos que se introduzca una contraseña, contraseña que algunos usuarios deducirán que es la misma que la de su cuenta de correo.

Una vez los delincuentes han conseguido robar las credenciales, estas son enviadas a los delincuentes responsables de esta campaña y almacenadas para su uso posterior o para ser vendidas a otros delincuentes. Este tráfico de credenciales robadas suele terminar en campañas dirigidas a las empresas de los usuarios que cayeron en la trampa, sus clientes y/o proveedores.

Conclusión

A pesar de ser campañas fáciles de realizar por los delincuentes, no todos los usuarios son capaces de identificar que están ante un caso de suplantación de identidad y caen en este tipo de trampas. Por ese motivo es importante desconfiar de correos no solicitados, contar con soluciones de seguridad capaz de identificar estos casos de phishing y contar con medidas de verificación adicional de los usuarios para que, en caso de que se roben las credenciales, estas no puedan ser usadas fácilmente por los delincuentes.

Josep Albors

SMS suplantando a Correos, una estafa que reaparece en una semana clave