¿Subidas de sueldo y aprobación de vacaciones? Estos correos no son lo que piensas

A la hora de preparar sus campañas de phishing, los delincuentes tratan de generar un gancho convincente que atraiga la curiosidad de aquellos usuarios a los que va dirigido el email. Algunos optan por asuntos vistos mil veces y enviados a muchas cuentas de email, confiando en que, aunque sea en un pequeño porcentaje, siempre habrá alguien que caiga en la trampa, mientras que otros prefieren hacer ataques más dirigidos o personalizados como el que analizamos a continuación.

Un interesante email

El correo que vamos a revisar hoy fue recibido en la tarde de ayer por nuestros compañeros de Ediciones Babylon (empresa perteneciente al grupo Ontinet.com y que se ha especializado en la publicación de manga japonés). Formados como están en materia de seguridad informática, sospecharon de este email nada más verlo, tanto por el asunto del mensaje como por el remitente del mismo ya que, si supuestamente venía del departamento de recursos humanos de la empresa no tenía sentido que el remitente fuese de otra empresa totalmente ajena.

Sin embargo, tanto el asunto como el cuerpo del mensaje pueden ser lo bastante interesantes para algún usuario curioso. A fin de cuentas, ¿a quien no le gustaría saber si le han subido el sueldo, le han aprobado las vacaciones o está en un listado de posibles despidos?. El caso es que este email tenía detalles interesantes, como venir firmado supuestamente por el director de recursos humanos de la empresa, nada menos.

Además, incluido en este correo electrónico nos encontramos con un enlace más que sospechoso y que nuestros compañeros no pulsaron por estar concienciados ante este tipo de amenazas. Al revisar este enlace vemos como apunta a una dirección que simula ser un servicio de almacenamiento y compartición de ficheros, con el detalle de que los delincuentes han incorporado el logo de la empresa tanto en la web como en el icono de la pestaña del navegador para tratar de hacerla más creíble.

En la imagen se puede observar como se muestra un supuesto fichero PDF con un llamativo título relacionado con las vacaciones. Si el usuario pulsase sobre él, realmente estaría siendo redirigido a una nueva web donde los delincuentes han preparado una ventana emergente solicitando la contraseña de la cuenta de correo, incluyendo de nuevo el logo de la empresa para hacerla más creíble.

Si bien nuestros compañeros de Babylon no cayeron en esta trampa por estar concienciados en materia de seguridad es posible que esta campaña, dirigida a otras empresas, haya tenido un éxito mayor a la media de campañas de phishing y se hayan visto comprometidas un número importante de credenciales. Estas credenciales pueden luego ser usadas por los delincuentes para lanzar ataques aun más dirigidos haciéndose pasar por la empresa, pero esta vez desde un correo legítimo, lo que aumenta su probabilidad de éxito.

Conclusión

Si bien no es el primer caso que se observa de este tipo, si que estamos viendo como cada vez más delincuentes tratan de perfeccionar sus campañas de phishing para conseguir un mayor porcentaje de éxito. Debemos andarnos con mil ojos y sospechar de correos no solicitados incluso aunque vengan de remitentes de confianza ya que los delincuentes están al acecho esperando que cometamos un error.

Josep Albors

La evolución del phishing dirigido a empresas: te ayudamos a reconocerlo y a no caer en la trampa