Kaspersky ha descubierto una nueva campaña de phishing dirigida a pequeñas y medianas empresas. Este ataque aprovecha el proveedor de servicios de correo electrónico SendGrid para infiltrarse en las listas de correo de los clientes y emplea credenciales robadas para enviar mails de phishing, haciéndolos parecer auténticos, con lo que engaña fácilmente a los destinatarios.
Los ciberdelincuentes suelen dirigirse a las listas de correo utilizadas por las empresas para llegar a sus clientes, lo que ofrece oportunidades para el envío de spam, phishing y otras estafas sofisticadas. El acceso a herramientas legítimas para el envío masivo de correos electrónicos aumenta aún más las tasas de éxito de este tipo de ataques. En consecuencia, los atacantes intentan con frecuencia comprometer las cuentas de las empresas con proveedores de servicios de correo electrónico (ESP – email service provider). En su última investigación, Kaspersky ha descubierto una campaña de phishing que perfecciona este método de ataque obteniendo credenciales del ESP SendGrid mediante el envío de correos electrónicos de phishing directamente a través del propio servicio.
Con este sistema, los ciberdelincuentes aumentan la probabilidad de éxito, aprovechando que los destinatarios tienen plena confianza en la fuente que envía esos mails. Los correos electrónicos de phishing parecen proceder de SendGrid, expresan preocupación por la seguridad e instan a los destinatarios a activar la autenticación de doble factor (2FA) para proteger sus cuentas. Sin embargo, el enlace proporcionado redirige a los usuarios a un sitio web fraudulento que imita la página de inicio de sesión de SendGrid, donde se recopilan sus datos.
El phishing parece un correo electrónico perfectamente legítimo enviado desde los servidores de SendGrid con enlaces válidos que remiten al dominio de SendGrid. Lo único que puede alertar al destinatario es la dirección del remitente. Esto se debe a que los ESP colocan en ese lugar el dominio y el ID de correo del cliente real. Una señal importante de estafa es el dominio "sendgreds" del sitio de phishing, que se parece mucho al legítimo "sendgrid" a primera vista.
Pero, lo que hace que esta campaña sea especialmente peligrosa es que los correos electrónicos de phishing burlan las medidas de seguridad tradicionales. Como se envían a través de un servicio legítimo y no contienen signos evidentes de phishing, pueden eludir la detección de los filtros automáticos.
"Utilizar un proveedor de servicios de correo electrónico fiable es importante para la reputación y la seguridad de una empresa. Sin embargo, algunos ciberdelincuentes aprendieron a imitar a los servicios de confianza, por lo que es fundamental comprobar adecuadamente los correos electrónicos que recibes y, para una mejor protección, instalar una solución de ciberseguridad eficaz", afirma Roman Dedenok, experto en seguridad de Kaspersky.
La mayoría de las veces, los phishers utilizan cuentas robadas, ya que los servicios de correo electrónico obligan a los nuevos clientes a realizar rigurosos controles, mientras que los antiguos, que ya han enviado algunos correos masivos, se consideran fiables.
Para mantener los datos protegidos de ataques de phishing, los expertos de Kaspersky recomiendan:
- Proporcionar al personal de la empresa formación básica sobre higiene en ciberseguridad. También se puede realizar un ataque de phishing simulado para asegurarse de que los trabajadores saben distinguir los correos electrónicos de phishing.
- Utilizar soluciones de protección para servidores de correo con funciones antiphishing, para disminuir las posibilidades de infección a través de un correo electrónico de phishing. Por ejemplo, Kaspersky Security for Mail Server evita que tanto empleados como organizaciones sean estafados mediante ataques de ingeniería social.
- Utilizar una solución para endpoints y servidores de correo con funciones antiphishing, como Kaspersky Endpoint Security for Business, para disminuir la posibilidad de infección a través de un correo electrónico de phishing.
- Si se utiliza el servicio en la nube Microsoft 365, es importante protegerlo también. Kaspersky Security para Microsoft Office 365 tiene un antispam y antiphishing específico, así como protección para las aplicaciones SharePoint, Teams y OneDrive para tener comunicaciones empresariales seguras.
- Emplear soluciones fáciles, pero eficaces de gestionar como Kaspersky Small Office Security. Este producto ayuda a evitar el bloqueo del ordenador debido a correos electrónicos de phishing o archivos adjuntos maliciosos.
- Encontrar una solución especializada para pequeñas y medianas empresas con una gestión sencilla y funciones de protección probadas; como Kaspersky Endpoint Security Cloud. File Threat Protection, Mail Threat Protection, Network Threat Protection y Web Threat Protection dentro del producto incluyen tecnologías que protegen a los usuarios de malware, phishing y otros tipos de amenazas.
La información completa sobre la campaña de phishing a través de ESP está disponible en el blog de Kaspersky.