A la caza de cuentas en Office 365

Las tácticas más comunes de los ciberdelincuentes para secuestrar cuentas en Office 365.

El auge de teletrabajo ha aumentado el interés de los ciberdelincuentes por Office 365, una de las plataformas de colaboración en la nube más comunes.

La estrategia básica es muy simple: los ciberdelincuentes atraen a un empleado de la empresa a una página de inicio de sesión falsa de Office 365 y lo persuaden para que introduzcan sus credenciales. En otras palabras: phishing. Los métodos más específicos por los que los atacantes intentan obtener los nombres de usuario y contraseñas difieren, pero estos son los trucos más comunes.

Mensajes falsos por parte de Teams

Como regla general, cuando los atacantes envían un mensaje de correo electrónico que intenta parecerse a una notificación de Microsoft Teams, hacen hincapié en la urgencia, esperando que el destinatario no tenga tiempo de percibir cualquier irregularidad. El motivo general de la notificación suele estar relacionado con cualquier caso urgente que pueda, por ejemplo, forzar a la víctima a hacer clic en el botón Responder en Teams y termine en una página de inicio de sesión falsa.

Mensaje falso de Teams. Mensaje y página de inicio de sesión.

Si los atacantes han hecho su trabajo, aparecerá en la notificación el nombre y la imagen de un compañero real, lo cual podría recordar a los BEC internos, pero, como norma general, se trata de una persona desconocida. Los ciberdelincuentes estiman que el hecho de que un desconocido tenga un asunto tan urgente generará ansiedad en la víctima y la obligará a hacer clic en el botón.

Notificación de un fallo en la entrega

Otro problema falso creado para inculcar un sentido de urgencia en el destinatario es un supuesto error de entrega, por ejemplo, debido a un error de autenticación. En este caso, la víctima debía hacer clic para acceder al mensaje, pero los atacantes fueron tan vagos que no consiguieron crear una página de inicio de sesión de Office 365 verosímil.

Notificación de error en la entrega de un mensaje. Mensaje y página de inicio de sesión.

Evidentemente, la próxima vez podrían hacer una falsificación más convincente, en cuyo caso el destinatario tendría que recurrir a otros medios para identificar el phishing. Cabe destacar que son los remitentes, y no los destinatarios, los que reciben avisos de errores en la entrega: si el servidor pudiera identificar al destinatario deseado, ¡entregaría el mensaje sin problemas!

Notificación de bandeja de entrada llena

Otro de los aspectos que lleva a los trabajadores a un error generado por el pánico es la notificación de que la bandeja de entrada está llena, advirtiendo también de sus consecuencias nefastas: no poder recibir próximos mensajes. La opción que se ofrece es eliminar o descargar los mensajes. La mayoría de las personas optarán por esta última medida y harán clic en el cebo: el botón “Haz clic aquí”.

Notificación de bandeja de entrada llena. Mensaje y página de inicio de sesión.

Ten en cuenta que en este caso los atacantes hicieron un verdadero esfuerzo insertando un párrafo en el correo electrónico sobre la responsabilidad social de la compañía en vistas de la pandemia, aunque no se molestaron en utilizar un inglés comercial mínimamente convincente. Nuevamente, reaccionar por causa del pánico puede hacer generar que se pasen por alto los signos de una comunicación fraudulenta.

Notificación de caducidad de contraseña

Cambiar una contraseña es un procedimiento bastante común. La política de tu empresa debe exigirlo de forma regular y el departamento de seguridad podría solicitarlo como precaución contra una posible filtración. Y, por supuesto, cuando estableces una nueva contraseña, debes proporcionar la anterior. Por ello, las solicitudes de cambio de contraseña son un recurso básico de los correos electrónicos de phishing.

Notificación falsa de caducidad de contraseña. Mensaje y página de inicio.

En este caso, aunque el empleado no perciba el lenguaje descuidado que aparece en el correo electrónico, la página de inicio de sesión no debería pasar la prueba a simple vista.

Cómo evitar caer en la trampa

Recuerda que la información de la cuenta puede no solo desbloquear la capacidad de enviar correos electrónicos desde la dirección de un empleado, sino también el acceso a toda la información acumulada en el buzón. Por tanto, cualquier página que solicite las credenciales de la cuenta corporativa merece un escrutinio exhaustivo, incluso aunque (sobre todo si) están presionando para que se actúe rápidamente. Todo lo que necesitas seguir son estos dos consejos:

  • Comprueba siempre la dirección de cualquier página que solicite credenciales. Dependiendo del servicio, las páginas de inicio de sesión legítimas pueden incluir microsoftonline.com, outlook.office.com, onmicrosoft.com o el nombre de dominio de tu empresa.
  • Implementa una solución de seguridad sólida en toda la empresa que bloquee los correos electrónicos de phishing.
Consejos