Cuando los ciberdelincuentes tienen acceso a una cuenta de correo electrónico corporativo, pueden realizar ataques que comprometan el correo electrónico de una empresa. Por ello, cientos de e-mails de phishing se dirigen a usuarios corporativos pidiendo que inicien sesión en los sitios web que simulan ser la página de inicio de MS Office. Y esto significa que es muy importante saber a qué hay que prestar atención si un enlace te redirige a una página como esa.
Los ciberdelincuentes que roban credenciales para cuentas de Microsoft Office no son nada nuevo. Sin embargo, los métodos que los atacantes emplean cada vez son más avanzados. Hoy vamos a tomar como ejemplo un caso del mundo real (un correo que sí recibimos) para demostrar las mejores prácticas y describir algunos trucos nuevos.
El nuevo truco de phishing: Un archivo adjunto HTML
En general, un e-mail de phishing incluye un hipervínculo a un sitio web falso. Esto es algo que siempre decimos: es necesario examinar los hipervínculos con cuidado, tanto en su aspecto general como en las direcciones web a las que redirigen (pasar el cursor sobre la URL revela la dirección objetivo en la mayoría de clientes de correo e interfaces web). Pero, como los usuarios se acostumbraron a este hábito de precaución, los suplantadores de identidad decidieron no incluir enlaces, sino archivos HTML, cuyo único propósito es automatizar la redirección.
Al hacer clic, el archivo adjunto HTML se abre en un navegador. En cuanto a su aspecto, el archivo solo contiene una línea de código (javascript: window.location.href) con la dirección del sitio web de suplantación de identidad (phishing) como variable. Lo que obliga al navegador a abrir el sitio web en la misma ventana.
Qué debes buscar en un correo de phishing
Haciendo a un lado las nuevas tácticas, el phishing no ha cambiado, así que comenzaremos por analizar el propio correo. Este es el mensaje real que recibimos. En este caso, es una notificación falsa de mensaje de voz:
Antes de hacer clic en el archivo adjunto, hay que hacernos algunas preguntas:
- ¿Conoces al remitente? ¿Es probable que el remitente te deje un mensaje de voz en el trabajo?
- ¿Es práctica común en tu empresa enviar mensajes de voz por correo electrónico? No es que se utilice mucho ahora, pero Microsoft 365 no ha tenido soporte de correo de voz desde enero del 2020.
- ¿Tienes claro desde qué aplicación se envió la notificación? MS Recorder no es parte del paquete de Office y, en cualquier caso, la aplicación de grabación de voz predeterminada de Microsoft, que en teoría podría enviar mensajes de voz, se llama Grabadora de voz, no MS Recorder.
- ¿El archivo adjunto parece un archivo de audio? Con Grabadora de voz se pueden compartir grabaciones de voz, pero se envían como archivos .m3a. Aunque la grabación provenga de una herramienta desconocida y se almacene en un servidor, debería incluir un enlace a esta, y no un archivo adjunto.
En resumen: Recibimos un correo de un remitente desconocido que supuestamente entrega un mensaje de voz (una herramienta que nunca usamos) que ha sido grabado con un programa desconocido y se ha enviado como una página web adjunta. ¿Vale la pena intentar abrirla? Definitivamente no.
Cómo reconocer una página de phishing
Supongamos que haces clic en el archivo adjunto y te lleva a una página de phishing. ¿Cómo puedes saber que no es un sitio legítimo?
Debes fijarte en esto:
- ¿El contenido de la barra de direcciones parece una dirección de Microsoft?
- ¿Los enlaces para “¿Problemas para acceder a su cuenta?” e “Iniciar sesión con una clave de seguridad” te redirigen a donde deberían? Incluso en una página de phishing, es posible que sí te lleven a páginas reales de Microsoft, aunque en nuestro caso, estaban inactivos, que es una señal clara de fraude.
- ¿La ventana se ve bien? En general, Microsoft no tiene problemas con detalles como la escala de la imagen de fondo. Y, aunque los problemas técnicos pueden ocurrir en cualquier momento, las anomalías deberían ponerte en alerta.
En cualquier caso, si tienes dudas, visita https://login.microsoftonline.com/ para apreciar cómo se ve la página real de inicio de sesión de Microsoft.
Cómo evitar caer en la trampa
Para evitar ceder las contraseñas de tu cuenta de Office a atacantes desconocidos:
- Presta atención. Utiliza nuestras preguntas para evadir las formas más simples de phishing. Para aprender más trucos, prueba nuestros cursos de formación en materia de sensibilización de las ciberamenazas modernas.
- Protege los buzones de correo de los empleados con una protección para Office 365 a fin de exponer los intentos de phishing con hipervínculos o con archivos HTML adjuntos y una protección para endpoints para evitar que se abran sitios de phishing.