Hoy volvemos con otra de esas campañas de phishing que llegan de vez en cuando a nuestra bandeja de entrada.
En este fraude, se hacen pasar por el administrador del servidor de correo, alertando de que hay un error de algún tipo (la excusa es lo de menos) y que para solucionarlo tenemos que hacer lo esperable: identificarnos en el correo.
Índice de contenido
Cuál es el objetivo
Pues, como no podría ser de otra manera, obtener las credenciales de acceso a un correo corporativo. Un correo que muy seguramente se utilice más adelante para, desde él, lanzar campañas de phishing a otras empresas usurpando la identidad de tu compañía, implementando timos como los que ya hemos analizado en profundidad desde esta página.
Algo que no solo afecta de forma directa a la seguridad de tu empresa (lo normal es que, una vez dentro, cambien las credenciales de acceso y pierdas el control de tu correo corporativo), sino que encima causará de seguro una crisis reputacional a la marca.
A fin de cuentas, será desde vuestros propios correos corporativos desde donde se contactará a nuevas víctimas asegurando que existe una factura pendiente de pago, o cualquier otra excusa. Y claro, estas víctimas a quien primero van a pedir explicaciones es a la empresa que les ha, supuestamente, enviado dichas comunicaciones, presumiblemente interponiendo una denuncia contra la empresa que esté detrás.
Cómo funcionan estos tipos de ciberataques
Pues muy sencillo.
Estos grupos envían masivamente emails con un formato semejante al que ves a continuación:
En él, se alerta al usuario de que el servidor de correo tiene un error en el puerto SSL, y que para solucionarlo, deberán actualizar el servidor de correo.
En nuestro caso, recibimos el siguiente mail:
Atención: Cyberbrainers
Errores del servidor puerto SSL de su buzón de correo «[email protected]».
Debido a errores del servidor del puerto SSL, algunos correos electrónicos destinado a su bandeja de entrada [email protected] no llegan. Para solucionar este problema, debe actualizar su servidor de correo electrónico utilizando la información de sesión proporcionada en [https://cyberbrainers.com//2096/[email protected]_actualizacion],
[BOTÓN «Actualizacion del servidor de correo electrónico]
Puede desactivar el tipo de notificación «Advertencia de buzón de error» a través de la interfaz de cPanel: [URL ANTERIOR]
En este tipo de campaña de fraude ya vemos, de base, varios de los síntomas que nos hacen saber que estamos ante una campaña de phishing, y no ante un correo legítimo.
- Para empezar, el correo se envía desde una dirección rarísima. Una que claramente no pertenece al servidor de CyberBrainers. Solo por esto, un trabajador que haya recibido la formación adecuada, ya debería saber que se trata de una campaña de fraude.
- En el cuerpo del email ponen datos que podrían ser reales, como es el propio email de la empresa (el genérico, todo hay que decirlo) y su nombre, y además enlazan hasta en tres lugares diferentes a una supuesta dirección que parece empezar por cyberbrainers.com. Sin embargo, y de nuevo es uno de los tres puntos que desde CyberBrainers siempre recomendamos revisar para saber si un correo es legítimo o no, la URL real (a donde te lleva ese enlace) no es a esa supuesta página, sino a otra que no tiene nada que ver. Es decir, que solo están poniendo un texto que parece ser una dirección web… y enlazan ese texto a la dirección donde está la página fraudulenta, a sabiendas que muchos usuarios pincharán directamente sin percatarse de que, solo con pasar el ratón por encima de ese enlace, pueden ver que la dirección final es otra bien distinta.
- Por último, y aunque esto no siempre funciona, en CyberBrainers, al hacer uso de la suite de Google Work para gestionar nuestros correos, este email ya directamente Google nos lo marcaba como potencialmente SPAM, no apareciendo en nuestra bandeja de entrada, sino en la carpeta de SPAM. Este es uno de los motivos de por qué desde CyberBrainers solemos recomendar a nuestros clientes de transformación digital a migrar a entornos cloud como los de Google o Microsoft. Está más que demostrado que solo con esto, minimizamos considerablemente el riesgo a que un trabajador caiga en uno de estos timos.
Qué pasará si somos víctimas de uno de estos fraudes
Por último, si pese a todo lo anteriormente señalado, la víctima acaba picando y accediendo a la web, como te contábamos, estos enlaces le llevarán a una supuesta página con el look&feel típico de un servidor webmail en Plesk, el principal servidor de hosting que usan las mayorías de organizaciones.
El diseño, como decía, es calcado al que podría tener el servidor de la organización.
Sin embargo, y por razones obvias:
- La dirección web no pertenece al dominio de la empresa, y por tanto está bajo el control de los ciberatacantes.
- Ese formulario donde tenemos que poner nuestra contraseña no nos permitirá identificarnos en nuestro correo, sino que enviará las credenciales de acceso a una base de datos bajo control de los cibercriminales.
Es decir, que la víctima les estará entregando el usuario (que en servidores de correo es el propio correo) y la contraseña. Y como en muchas organizaciones, estos datos son comunes (usan la misma contraseña para todo), ya no solo tendrán acceso al correo, sino también, potencialmente, a todos los servicios donde se haya usado ese usuario y contraseña.
Cómo defendernos de este tipo de ataques
Tenemos dos opciones, y las dos son complementarias:
- Formar a nuestros trabajadores en riesgos digitales: Desde CyberBrainers damos habitualmente sesiones de formación a entidades para que sus trabajadores puedan identificar fácilmente este tipo de fraudes, y con ello, no caigan en el phishing y comprometan la seguridad y reputación de sus empresas.
- Migrar a entornos cloud: Por ser estos más seguros por defecto que los entornos tradicionales autogestionados por la organización. Suites como Google Work u Office365 ofrecen una serie de herramientas mucho más avanzadas de las que cualquier PYME e incluso gran empresa va a poder implementar por su cuenta, identificando, como ocurría en este caso, el email como un potencial SPAM, y por tanto ya poniendo en alerta al usuario.
En ambos casos desde CyberBrainers podemos haceros un presupuesto sin compromiso, tan solo con ponerse en contacto con nuestro equipo.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.