Que los consumidores piensen que no despiertan el interés de los ciberdelincuentes es una mala idea, pero aún peor es que los dueños de las pymes piensen similar. A los delincuentes les conviene que se descuide la protección básica; además, sus objetivos no son siempre los que esperarías. Como ejemplo, podemos usar un mensaje que cayó recientemente en nuestra trampa de correo: el phishing dirigido a secuestrar las cuentas del proveedor de servicios de correo electrónico (ESP, por sus siglas en inglés) para obtener listas de correo.
Cómo funciona el phishing del servicio de correo
El fraude comienza cuando un empleado de la empresa recibe la confirmación de pago por una suscripción a un ESP. El enlace del mensaje supuestamente concede al destinatario acceso a un comprobante de compra. Si el destinatario es en realidad un cliente de un ESP (y el phishing se dirige a clientes reales), probablemente harán clic con la esperanza de esclarecer este pago fuera de lo común.
Aunque el hipervínculo parece llevar a la página del ESP, en realidad conduce a un lugar completamente diferente. Tras hacer clic, la víctima se ve dirigida a un sitio falso que parece muy similar a la página legítima de inicio de sesión.
Llegado este punto, a los lectores no debería sorprenderles saber que todos los datos introducidos en la página falsa de inicio de sesión irán a parar directamente a los ciberdelincuentes que están detrás del fraude. Sin embargo, cabe destacar que, además de la redirección errónea, el sitio falso transmite los datos que recopila a través de un canal desprotegido. Los atacantes no se molestaron siquiera en replicar el CAPTCHA, aunque sí insertaron un ejemplo en un campo del correo electrónico. A su vez, también distinguimos una bandera en la esquina inferior derecha que no aparece en la página falsa. Pero la mayoría de los usuarios no detectan estas pequeñas diferencias.
Por qué es peligroso perder el acceso a la cuenta de ESP
En el mejor de los casos, al apoderarse de una cuenta de ESP, los atacantes pueden usar la lista de direcciones del cliente de correo electrónico para enviar spam. Sin embargo, las listas de correo de ciertas industrias alcanzan un valor más alto en el mercado negro que una simple recopilación al azar de direcciones de correo electrónico. El que los ciberdelincuentes sepan a qué sector pertenece la empresa les ayuda a personalizar su spam.
Dada la especialidad en phishing de los ciberdelincuentes, es probable que todos los de la lista de correo reciban mensajes de phishing que parezcan de la propia empresa. Por tanto, independientemente de que el destinatario se haya suscrito al boletín o sea un cliente real, es probable que abra el mensaje, lo lea e incluso haga clic en el enlace, ya que el remitente no parece sospechoso.
Métodos de ocultación
Tras estudiar detenidamente el correo de phishing, hallamos que el envío se había realizado mediante un servicio de correo, pero uno diferente (un competidor del ESP desde el que supuestamente provenía). Para conocer el motivo de esta decisión, te recomendamos que eches un vistazo a nuestro artículo El phishing mediante servicios de e-mail marketing. Curiosamente, para prolongar la duración de la campaña, los ciberdelincuentes incluso crearon una página de inicio para su supuesta empresa de marketing (no obstante, el título de la página que podemos leer en la pestaña que hace referencia a una plantilla, no resulta especialmente convincente).
Todo lo anterior sugiere que los atacantes pudieron haber afinado sus conocimientos sobre los mecanismos de varios servicios de correo, por lo que podrían atacar también a otros clientes de ESP.
Cómo protegerte contra el phishing
Para no caer en sus redes, sigue estos consejos básicos:
- Evita hacer clic en los enlaces de mensajes no esperados, especialmente los que te pidan iniciar sesión en un servicio. Aunque el mensaje parezca legítimo, es preferible que abras el navegador e introduzcas manualmente el nombre del sitio.
- Comprueba la seguridad del sitio. Si tu navegador no reconoce su seguridad, alguien podría interceptar tu nombre de usuario y contraseña.
- Aprende a detectar los signos estándares de phishing y enséñaselo también al personal. No tendrás que organizar tus propias clases; las plataformas de formación online te ayudarán con este propósito.
- Usa soluciones especializadas para evitar el spam y el phishing del correo corporativo.
- Instala y actualiza las soluciones de seguridad en todos los dispositivos, de modo que aunque alguien haga clic en un enlace de phishing, se pueda evitar el peligro.