Phishing corporativo disfrazado de una evaluación de rendimiento

Los estafadores incitan a los empleados a someterse a evaluaciones de rendimiento, pero lo que en realidad hacen es recopilar las contraseñas de sus cuentas de trabajo.

Los ciberdelincuentes están ideando nuevas estratagemas para atraer a los empleados a sitios de phishing con el objetivo de obtener las credenciales de cuentas empresariales. Anteriormente, las campañas de spam utilizaban las invitaciones en SharePoint y los mensajes de voz como cebo.

Hace poco nuestros expertos han descubierto otra estrategia de phishing en la que los ciberdelincuentes intentan imitar el proceso de la evaluación de rendimiento de la empresa objetivo. El ataque es doble: los receptores piensan que la valoración es (a) obligatoria y (b) que puede generar un aumento de sueldo. Vale la pena señalar que en algunas empresas estas evaluaciones forman parte de la rutina del proceso de revisión salarial; de ahí que no despierten sospechas.

Como de costumbre, todo comienza con un correo electrónico. Un empleado recibe un mensaje supuestamente de Recursos Humanos que incita a realizar una evaluación de rendimiento. El texto del mensaje contiene un enlace a un sitio web con un “formulario de evaluación” que debe rellenar el empleado.

 Contra los recién llegados

Según las instrucciones, el usuario debe seguir el enlace, iniciar sesión, esperar un mensaje de correo electrónico con información adicional y seleccionar una de las tres opciones. Para cualquier persona nueva en la empresa que no conoce el procedimiento de evaluación, esta situación puede parecer convincente. Solamente la dirección del sitio (que no guarda relación alguna con los recursos corporativos) podría levantar sospechas.

Si el empleado abre el enlace, verá la página de inicio de sesión del “Portal de Recursos Humanos”. A diferencia de muchos recursos de phishing diseñados para reproducir la apariencia de las páginas de inicio de sesión de servicios empresariales, esta parece absolutamente rudimentaria, con un fondo brillante monocromo o un fondo degradado y con unos campos de ingreso de datos que abarcan casi todo la página. Para conceder autenticidad, los estafadores invitan al usuario a aceptar la política de privacidad (sin proporcionar un enlace a dicho documento).

Se le pide a la víctima que ingrese su nombre de usuario, contraseña y dirección de correo electrónico. En algunos casos, los estafadores solicitan también la dirección del trabajo. Y al hacer clic en el botón de “iniciar sesión” o “comenzar evaluación”, en realidad el empleado está enviando los datos a los ciberdelincuentess.

En este punto, es probable que la “evaluación” termine de inmediato y que el empleado se quede esperando, en vano, el mensaje de correo electrónico prometido, junto con más información. En el mejor de los casos, puede que sospeche que algo no está bien y envíe un recordatorio al departamento de Recursos Humanos, quienes a su vez notificarán al área de seguridad informática. De no ser así, la empresa podría detectar el robo de identidad meses después.

Los peligros del secuestro de cuentas corporativas

Todo depende, por supuesto, de qué tecnologías emplee la empresa en cuestión. Al obtener las credenciales de un empleado, el ciberdelincuente podía llevar a cabo actos maliciosos; por ejemplo, podría enviar mensajes de correo electrónico a nombre de la víctima dirigidos contra otros empleados, socios y clientes de la empresa.

El atacante también podría ganar acceso a la correspondencia o a los documentos confidenciales internos, lo que incrementa las posibilidades de un ataque exitoso: es probable que los mensajes que parecen provenir de la víctima no solamente evadan los filtros de spam, sino que también pueden generar en los destinatarios una falsa sensación de seguridad. Después, la información robada también podría utilizarse para lanzar varios tipos de ataques dirigidos a nombre de la propia empresa, lo que incluye la vulneración de los correos electrónicos corporativos (BEC, por sus siglas en inglés).

Además, los documentos internos y los mensajes de los empleados pueden usarse para otras cosas; por ejemplo, para realizar chantajes o venderlos a la competencia.

Cómo defenderse de los ataques de phishing

Estos ataques explotan sobre todo el factor humano. De ahí que sea crucial asegurarse de que los empleados estén familiarizados con los procedimientos y los procesos de ciberseguridad de la empresa.

  • Envía recordatorios periódicos a tus empleados para que recelen de los enlaces en los mensajes de correo electrónico y para que los abran solamente si están seguros de su autenticidad.
  • Recuerda al personal de no deben introducir información de sus cuentas corporativas en sitios web externos.
  • Intercepta los mensajes de correo electrónico de phishing antes de que lleguen a su bandeja de entrada. Para esto, instala una solución de seguridad a nivel del servidor de correo electrónico. Kaspersky Security for Mail ServerKaspersky Endpoint Security for Business Advanced te ayudarán con esta tarea.
Consejos