Un escáner falso de correo electrónico

Te contamos con detalle nuestro análisis sobre un sitio de phishing que se hace pasar por un escáner de correo electrónico y sus intentos para engañar a las víctimas.

En los últimos años, ha sido muy típico ver noticias sobre redes corporativas que se han infectado mediante correo electrónico (y que, también, guardaban relación con un ransomware). Por lo tanto, no es sorprendente que los estafadores utilicen este tema para intentar hacerse con las credenciales de las cuentas de correos corporativos convenciendo a los empleados de la empresa de que ejecuten un análisis de su buzón.

La estrategia va dirigida a personas que conocen la posible amenaza del malware en el correo electrónico, pero que no tienen conocimientos suficientes sobre cómo tratarla. El personal de seguridad de la información haría bien en explicar estos trucos a los empleados y utilizarlos como ejemplos para mostrarles qué deben buscar para evitar ser víctimas de los cibercriminales.

Correo electrónico de phishing

Este mensaje falso emplea el viejo truco de intimidar a la víctima. El encabezado es “Alerta de virus” seguido de tres signos de exclamación. Por muy insignificante que parezca la puntuación, es lo primero que debería avisar al destinatario de que hay algo que no va bien. La puntuación innecesaria en un correo de trabajo es un signo de dramatismo o falta de profesionalidad. De cualquier manera, ese tipo de puntuación resulta inapropiada en una notificación cuya finalidad es, supuestamente, transmitir información sobre una amenaza.

Correo phishing

La pregunta principal que los destinatarios deben hacerse es: ¿quién envió el mensaje? El correo electrónico afirma que, de no llevar a cabo ninguna acción, la cuenta del destinatario se bloqueará, por lo que es lógico pensar que lo ha enviado el servicio informático que proporciona soporte al servidor del correo corporativo o los empleados del proveedor de servicios de correo electrónico.

Pero es importante entender que ningún proveedor o servicio interno requeriría la acción del usuario para analizar el contenido del buzón. El análisis se realiza automáticamente en el servidor de correo. Además, pocas veces la “actividad de un virus” ocurre dentro de una cuenta. Aunque alguien enviara un virus, el destinatario tendría que descargarlo y ejecutarlo. Es decir, la infección tiene lugar en el ordenador, no en la cuenta de correo.

Volviendo a la primera pregunta, si miramos el remitente, podremos identificar dos señales de alerta inmediatas. Primero, el correo electrónico se envió desde una cuenta de Hotmail, mientras que una notificación legítima mostraría el dominio de la empresa o del proveedor. Segundo, se dice que el mensaje proviene del “Equipo de Seguridad de Correo Electrónico”. Si la empresa del destinatario utiliza un proveedor externo de servicios de correo, su nombre debe aparecer en la firma. Y si el servidor de correo está en la infraestructura corporativa, la notificación vendrá del departamento informático interno o del servicio de seguridad de la información, pues las probabilidades de que un equipo entero sea responsable únicamente de la seguridad del correo electrónico son mínimas.

Lo siguiente es el enlace. La mayoría de los clientes de correo electrónico modernos muestran la URL escondida detrás del hipervínculo. Si se pide al destinatario que haga clic en un escáner de correo electrónico alojado en un dominio que no pertenece ni a su empresa ni al proveedor de correo, es casi seguro que se trate de phishing.

Sitio de phishing

El sitio parece una especie de escáner de correo electrónico online. Con el fin de parecer legítimo, muestra los logotipos de algunos proveedores de antivirus y hasta el encabezado lleva el nombre de la empresa del destinatario; con ello se pretende eliminar cualquier duda sobre de quién es la herramienta. El sitio primero simula un escaneo, luego lo interrumpe con el mensaje no programado “Confirme su cuenta a continuación para completar el escaneo del correo electrónico y eliminar todos los archivos infectados”. Y, claro, la contraseña de la cuenta es necesaria para ello.

Interfaz del escáner destinado al phishing

Para determinar la naturaleza del sitio, en primer lugar tienes que analizar el contenido de la barra de direcciones del navegador y, como hemos dicho, verás que no estás en el dominio correcto. En segundo lugar, lo más probable es que la URL contenga la dirección de correo electrónico del destinatario. Eso en sí mismo está bien , pues la ID de usuario podría haber pasado a través de la URL. Pero en caso de que tengas dudas sobre la legitimidad del sitio, sustituye la dirección por caracteres arbitrarios (pero mantén el símbolo @ para conservar la apariencia de una dirección de correo electrónico).

Los sitios de este tipo utilizan la dirección proporcionada por el enlace en el correo electrónico de phishing para rellenar los espacios en blanco en la plantilla de la página. Para el experimento, utilizamos la dirección inexistente victima@tuempresa.org, y el sitio sustituyó debidamente “tuempresa” en el nombre del escáner, y la dirección completa en el nombre de la cuenta, con lo que, aparentemente, empezó el análisis de los archivos adjuntos inexistentes en los correos electrónicos inexistentes. Repitiendo el experimento con una dirección diferente, vimos que los nombres de los archivos adjuntos en cada “análisis” eran los mismos.

El sitio del escáner falso simula un análisis

Otra inconsistencia es que el escáner, supuestamente, analiza el contenido del buzón sin necesidad de autenticación. Entonces, ¿por qué solicita la contraseña?

 

Cómo proteger a tus empleados del phishing

Hemos analizado con detalle los signos de phishing tanto en el correo electrónico como en el sitio web del escáner falso. El simple hecho de mostrar este mensaje a los empleados les dará una idea aproximada de lo que deben buscar. Pero eso es solo la punta del iceberg. Algunos correos electrónicos falsos son más sofisticados y difíciles de detectar.

Por lo tanto, recomendamos que los empleados estén concienciados y al tanto de las últimas ciberamenazas; por ejemplo, con nuestra plataforma Kaspersky Automated Security Awareness Platform.

Además, utiliza soluciones de seguridad capaces de detectar correos electrónicos de phishing en el servidor de correo y bloquear las redirecciones a sitios de phishing en los equipos de trabajo. Kaspersky Endpoint Security for Business hace ambas cosas. Además, ofrecemos una solución que mejora los mecanismos de protección incorporados de Microsoft Office 365.

Consejos