Hoy vamos a hablar del secuestro bastante reciente de una cuenta personal en el sitio de un proveedor de hosting, un objetivo que resulta muy atractivo para los ciberdelincuentes. Te contamos cómo se desarrolló el ataque y hasta dónde puede llegar este tipo de infracción.
La estrategia de phishing
El ataque comenzó con un phishing clásico. En este caso, intentaron asustar al destinatario para que actuara rápidamente alegando un ciberataque: haciéndose pasar por el proveedor de hosting, los delincuentes afirmaron haber bloqueado temporalmente la cuenta en respuesta a un intento de compra de un dominio sospechoso a través de ella. Para recuperar el control de la cuenta, necesitaban que el destinatario siguiera el enlace e iniciara sesión en su cuenta personal.
El cuerpo del mensaje está repleto de señales de alerta. No contiene ni el nombre del proveedor ni su logotipo, lo que sugiere el uso de una plantilla común para los clientes de los diferentes sitios de hosting. El nombre aparece solo una vez, en el remitente. Es más, ese nombre no coincide con el dominio de correo, lo cual debería levantar sospechas.
El enlace conduce a una página de inicio de sesión poco convincente en la que ni siquiera coincide la combinación de colores. Aun así, los ciberdelincuentes esperan que el usuario, presa del pánico, no se percate de la estafa.
Al igual que con cualquier estrategia de phishing, introducir credenciales en esta página equivale a entregar el control a los ciberdelincuentes, lo que, en este caso, significa entregar las claves del sitio web corporativo. Curiosamente, también piden una serie de datos financieros, cuyo propósito no está claro.
¿Por qué un proveedor de hosting?
Echa un vistazo a la página de inicio de sesión. Los certificados del sitio de phishing parecen estar en orden y su reputación parece buena. ¿El motivo? Los ciberdelincuentes no crearon el dominio, simplemente lo secuestraron, probablemente usando un ataque similar.
Lo que pueden hacer los ciberdelincuentes con el control de una cuenta personal en el sitio web de un anfitrión depende del proveedor. Estos son algunos de los ejemplos más probables: pueden volver a vincularse a otro contenido, actualizar el contenido del sitio a través de una interfaz web y cambiar la contraseña del Protocolo de transferencia de archivos (FTP por sus siglas en inglés) para la gestión del contenido. Es decir, los ciberdelincuentes tienen donde elegir.
¿Las posibilidades te parecen demasiado amplias? Bueno, aquí te dejamos con algunas ideas más específicas. Si los ciberdelincuentes toman el control de tu sitio, pueden incorporar una página de phishing, usar tu sitio para alojar un enlace que descargue malware o, incluso, usarlo para atacar a tus clientes. En resumen, pueden comerciar con el nombre de tu empresa y la reputación del sitio web con fines maliciosos.
Cómo protegerse contra los ataques de phishing
Los correos electrónicos de phishing pueden ser muy persuasivos. Para evitar caer en la trampa, en primer lugar, los empleados deben estar atentos. Te recomendamos que:
- Insistas en la política de nunca hacer clic en enlaces a una cuenta personal. Cualquiera que reciba un mensaje preocupante de su proveedor de hosting debe iniciar sesión en el sitio legítimo, comenzando por escribir la dirección en la barra de direcciones de su navegador.
- Actives la autentificación en dos pasos en el sitio web del proveedor. Si el proveedor no ofrece esta función, averigua cuándo tienen pensado incorporarla.
- Te mantengas alerta a las señales obvias de phishing (como una posible discrepancia entre el nombre del remitente y el dominio del correo electrónico o un nombre de dominio incorrecto en un sitio web). La mejor opción es formar a tus empleados para que identifiquen los intentos de phishing. Por ejemplo, puedes utilizar una plataforma de formación online.
- Instales soluciones de seguridad de correo corporativo en todos los servidores y dispositivos que utilicen los empleados para el acceso a Internet.