IONOS no deja de ser la marca con la que desde hace unos años el proveedor de hosting 1And1 está operando. Uno de los grandes proveedores de hosting del mercado.
Y, como cabría esperar, uno de los ganchos más utilizados para campañas de phishing enfocadas a PYMEs.
De hecho, hace apenas unos días uno de nuestros clientes en la consultora nos escribía para pasarnos tres emails que había recibido esa misma mañana de 1&1.
El primero, con el asunto «Su cuenta es limitada por nuestro sistema de seguridad !», con el siguiente mensaje:
Estimado cliente,
Al revisar su cuenta de correo electrónico, notamos un problema y requerimos su acción inmediata.Una vez que actualice la información, continuaremos con el proceso de verificación.
(enlace) Revisar la seguridad (fin del enlace)
El segundo, con el asunto «VERIFICACION INMEDIATA requerida para su cuenta de correo electronico», y el texto:
Estimado cliente,
Por qué has recibido este correo electrónico?
Su cuenta ha sido deshabilitada debido a varios intentos fallidos de inicio de sesión desde el dispositivo que se detalla a continuación.
Fecha: 19/10/2021
User Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/8.0.8498.169 Safari/547.46
Actividad: 3 intentos fallidos de inicio de sesión(enlace) Verifique su cuenta en el área de servicio (fin del enlace)
Si no se activa dentro de las 48 horas, se suspenderá.
Si tiene alguna pregunta sobre su cuenta, encontrará información útil adicional (enlace) aquí (enlace)
El tercero, con el asunto «C832280804 Importante! 1 mensaje nuevo no leido !» y el texto:
Estimado cliente,
De acuerdo con las regulaciones de la UE, debe dar su consentimiento para el procesamiento de sus datos personales, lo que desafortunadamente no es el caso.
opcional y si no acepta los nuevos términos de uso tendremos que cerrar su cuenta
Para confirmar su consentimiento, siga el enlace a continuación:
(enlace) https//login.ionos.es/ (fin del enlace)
Atentamente,
Atención al Cliente IONOS
En los tres casos el envío se hace desde [email protected] (estamos ante un email spoofing de libro), y el diseño es semejante a las comunicaciones que puede recibir un usuario de 1&1 en España.
Es más, uno de ellos incluso ponía los datos fiscales de la sede de la empresa en Alcobendas, en el pie de email.
Pero, por supuesto, estamos ante una campaña de phishing.
¿Cómo nos dimos cuenta de que es un fraude?
Pues por dos de los motivos expuestos en esa guía sobre cómo identificar campañas de fraude vía email que publicamos hace un tiempo.
- Las faltas de ortografía les delatan: En este caso lo que era el texto del cuerpo del email estaba bastante bien redactado. Sin embargo, los asuntos tenían varios fallos gramaticales que deberían hacernos, cuanto menos, sospechar. Es raro que una multinacional como 1and1 no mime hasta el extremo, con localización de textos por países, los textos que envía presumiblemente de forma automática a sus clientes.
- Los enlaces a los que redirige: Pese a que incluso en el último email ponen la dirección URL escrita, lo cierto es que todos los enlaces, incluido este último, no llevan a la web de IONOS.es, sino a una redirección utilizando el dominio Google que acaba en una página de un subdominio de cfiedu.com. Una página sin tan siquiera SSL activo (recordemos que esto, por sí solo, no es identificatorio de páginas legítimas, ya que el candadito en la URL no certifica la legitimidad de una página, sino solo que los datos que enviamos circulan de manera privada desde nuestro dispositivo hasta sus servidores), presuntamente de una empresa de ciberseguridad (tiene «guasa» la cosa) que seguramente los cibercriminales han atacado, y colgado de uno de sus subdominios un clonado del login de IONOS.
La página, como puedes ver, es a todas luces semejante a la de logging de 1&1, pero por supuesto, si metemos ahí nuestros datos, no estaremos llamando a los servidores de IONOS, sino a los de los cibercriminales.
Llama de hecho la atención que ni siquiera se han dignado en redirigir los enlaces del resto de la página, ya que todos vuelven a cargar la misma página.
Eso sí, en el momento en el que metes unos datos en el formulario de acceso y le das a iniciar sesión, te redirigen a la web de IONOS.es, de forma que muy probablemente el usuario pensase que hubo algún error tonto, y al volver a intentarlo, ya en la web legítima, y entrar, se olvide de que ha sido atacado.
¿Cómo protegernos de este tipo de ataques?
La respuesta a esta pregunta ya la hemos resuelto en más de una ocasión, y es que hay tres maneras principales de defendernos de campañas de phishing como esta.
- La primera es optar por utilizar un sistema de mailing con filtrado de emails inteligentes, como el que ofrecen suites como la de Google o Microsoft: De hecho, este email llegó a la bandeja de entrada de nuestro cliente antes de que comenzásemos la migración a la nube de Google, pero al intentar avisarnos, a nosotros, que trabajamos en un entorno de GSuite, nos llegó directamente a la carpeta SPAM. Pese a que era el cliente quien nos lo enviaba, y porque Google, pese a ello, pensaba muy acertadamente que se trataba de una campaña de phishing.
- Con formación sobre riesgos digitales dirigida a nuestros trabajadores: Pese a que GMail o Outlook hagan un gran trabajo identificando campañas de este tipo, no son infalibles, y es posible que algunas de estas campañas lleguen a la bandeja de correo. En ese momento, es importantísimo que nuestro personal esté bien concienciado, y conozca los tres puntos que identifican a una campaña de fraude de un email legítimo. Un trabajo que también realizamos desde CyberBrainers con diferentes organizaciones, y mediante talleres y charlas inhouse.
- Por último, ante la duda, siempre recurrir a la fuente original desde otro canal distinto al usado por la supuesta campaña: En este caso resultaba terriblemente fácil desmontar el gancho entrando desde una búsqueda en Google a la cuenta de IONOS de nuestro cliente, y viendo que, en efecto, no hay ninguna alerta de fin de servicio semejante. Las campañas de fraude son ineficientes cuando somos nosotros quienes, utilizando otro canal diferente, llegamos a la fuente que supuestamente nos envía la alerta. Sin utilizar para ello su enlace.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.