El phishing en Office 365 mediante Documentos de Google

El phishing utiliza los servicios online de Google para apoderarse de las cuentas de Office 365.

Con el inicio de la pandemia de la COVID-19, muchas empresas trasladaron una buena parte de sus flujos de trabajo al mundo online y aprendieron a utilizar nuevas herramientas de colaboración. En particular, se ha percibido un aumento en el uso de la suite Office 365 de Microsoft y, como era de esperar, ahora cada vez más cuentas de usuario de esta plataforma son objetivo de ataques de phishing. Los estafadores recurren a todo tipo de trucos para que los empleados introduzcan sus contraseñas en un sitio web que simula ser una página de inicio de sesión de Microsoft. Esta es otra estrategia de phishing que utiliza los servicios de Google.

Correo electrónico de phishing

Así como la mayoría de las estrategias de phishing, esta comienza con un e-mail (y un enlace) parecido a este:

Este mensaje confuso de parte de un remitente desconocido está relacionado con un pago e incluye un enlace a una supuesta “Notificación de pago”. En el e-mail, se solicita al destinatario que compruebe el tipo de depósito y confirme el importe. Si bien los sistemas de seguridad alertan a los destinatarios de que el correo electrónico procede de fuera de la empresa, el enlace “al archivo” pasa la prueba, ya que conecta con un servicio online legítimo de Google y no con un sitio de phishing.

Sitio de phishing

El enlace dirige a una ubicación que parece ser una página del servicio corporativo OneDrive. Los usuarios incluso pueden ver que el documento está disponible para cualquier usuario de la empresa (dispuesto así probablemente con la esperanza de que alguien remita el enlace al propietario de una cuenta corporativa).

Una presentación de Documentos de Google que se parece más a una interfaz de OneDrive.

Pero la pantalla que los usuarios ven no es en realidad una página web, sino una diapositiva de una presentación de Documentos de Google que se abre automáticamente en modo Visualización. El botón Abrir que contiene puede ocultar cualquier enlace. En este caso, el enlace conecta con una página de phishing disfrazada de una página de inicio de sesión de Office 365.

Página falsa de inicio de sesión

Señales de alerta

Para empezar, el e-mail se ve raro. No debes confiar, y mucho menos reenviar, un correo cuyo origen y objetivo no están claros. En este caso, por ejemplo, si no estabas involucrado en un pago de tu empresa, tal vez no deberías hacer nada al respecto.

Más pruebas:

  • Los correos electrónicos de fuentes externas no tienden a enlazar a documentos internos de la empresa.
  • Los documentos financieros auténticos están diseñados para abrirse por usuarios específicos, y no por todos los empleados de una organización.
  • El nombre del archivo que aparece en el e-mail no concuerda con el que supuestamente está alojado en OneDrive.
  • Documentos de Google no alberga páginas de Microsoft OneDrive (observa la barra de dirección del navegador).
  • OneDrive no es Outlook y un botón Abrir en OneDrive no debería de dirigir a una página de inicio de sesión de Outlook.
  • Las páginas de inicio de sesión de Outlook no residen en sitios web de Amazon (otra pista de la barra de direcciones del navegador).

Cada inconsistencia debería disparar una señal de alerta y, en conjunto, no queda duda: este no es un lugar seguro para tus credenciales de Office 365.

Cómo mantenerse seguro

La clave de la seguridad digital reside en prestar atención a los detalles y estar al tanto de los trucos de phishing. Por lo que te recomendamos encarecidamente dar a conocer a tus empleados las ciberamenazas actuales (nuestra plataforma de formación está disponible online).

Además de formar al personal, utiliza las herramientas para el escaneo de enlaces a nivel corporativo y de estación de trabajo.

Consejos