Como norma general, en las grandes empresas no se suele pedir opinión a los empleados sobre sus aspiraciones profesionales, áreas de interés o habilidades más allá de la descripción de su trabajo. Esto suele ocurrir una vez al año, en la evaluación de desempeño. Sin embargo, a muchos les gustaría compartir sus opiniones con la dirección mucho más a menudo. Por ello, cuando reciben en la bandeja de entrada una invitación para realizar una autoevaluación, aprovechan la oportunidad sin dudarlo. Y esto es lo que están explotando los ciberdelincuentes en esta última campaña de phishing.
Un e-mail de phishing con invitación
La estafa consiste en lo siguiente: el empleado recibe un e-mail procedente supuestamente de Recursos Humanos con una descripción detallada del procedimiento de autoevaluación, que “promueve un diálogo sincero entre los miembros del equipo y sus directores/supervisores”. Continúa diciendo que “puedes aprender mucho sobre tus puntos más y menos fuertes… lo que se verá reflejado en tus éxitos, áreas de desarrollo y objetivos profesionales”. En resumen, todo un rollo corporativo bastante convincente.
Pero, por muy convincente que resulte, el e-mail cuenta con algunas banderas rojas que identifican el phishing. Para empezar, echa un vistazo al nombre de dominio que aparece en la dirección del remitente. Como habrás podido comprobar, no coincide con el nombre de la empresa. Es probable que el departamento de Recursos Humanos esté usando un contratista que no conoces, pero, ¿por qué iba a ofrecer esos servicios “Family Eldercare”? Aunque desconozcas que se trata de una organización sin ánimo de lucro que ayuda a familias a cuidar de sus mayores, el nombre también debería hacer saltar las alarmas.
Además, el e-mail afirma que la encuesta es obligatoria para todo el mundo y que debe enviarse antes de que acabe el día. Incluso aunque dejemos de lado las molestas mayúsculas que los atacantes utilizan, el carácter urgente del asunto es motivo más que suficiente para detenerse un momento y pensar, por no hablar de comprobar con el verdadero departamento de Recursos Humanos si realmente han sido ellos los que han enviado este correo.
El formulario de autoevaluación falso
Aquellos que salten por alto todas las alertas y hagan clic en el formulario se enfrentan a una serie de preguntas que pueden tener algo que ver con la valoración de su rendimiento. Pero lo que realmente buscan los atacantes de esta operación de phishing reside en las últimas tres preguntas, en las que se solicita a la víctima que entregue su dirección de correo electrónico e introduzca su contraseña para poder autentificarse, después la debe volver a introducir para confirmarla.
Este movimiento resulta especialmente inteligente por parte de los atacantes. Normalmente, el phishing de este tipo conduce directamente del e-mail a un formulario para introducir credenciales corporativas en un sitio de terceros, lo que pone a muchos usuarios en guardia de inmediato. No obstante, aquí la solicitud de la contraseña y la dirección de correo electrónico, que a menudo funciona también como nombre de usuario, se cuela como parte del formulario y al final del todo. A estas alturas, el estado de alerta de la víctima está totalmente desconectado.
Además, ¿te has fijado en cómo escriben la palabra “contraseña” (“password” en inglés?) Los atacantes remplazan dos letras con asteriscos para evitar los filtros automáticos configurados que buscan este término como palabra clave.
Cómo mantenerte a salvo
Para evitar que los empleados piquen el anzuelo del phishing, mantenlos informados de los últimos trucos; por ejemplo, reenviando nuestras publicaciones sobre estrategias de phishing. Si prefieres una estrategia más sistemática, realiza formaciones y comprobaciones periódicas, puedes utilizar nuestra Kaspersky Automated Security Awareness Platform.
Aunque lo ideal es que los empleados no lleguen a recibir la mayor parte de phishing gracias a los medios técnicos. Para ello, instala soluciones de seguridad con tecnología contra el phishing tanto en el nivel de la puerta de enlace del correo corporativo como en todos los dispositivos corporativos con acceso a internet.