phishing

Los trucos de phishing con Microsoft Office

Te contamos cómo actuar si un mensaje entrante te pide que inicies sesión en tu cuenta de MS Office.

Roman Dedenok
20 Abr 2021

Cuando los ciberdelincuentes tienen acceso a una cuenta de correo electrónico corporativo, pueden realizar ataques que comprometan el correo electrónico de una empresa. Por ello, cientos de e-mails de phishing se dirigen a usuarios corporativos pidiendo que inicien sesión en los sitios web que simulan ser la página de inicio de MS Office. Y esto significa que es muy importante saber a qué hay que prestar atención si un enlace te redirige a una página como esa.

Los ciberdelincuentes que roban credenciales para cuentas de Microsoft Office no son nada nuevo. Sin embargo, los métodos que los atacantes emplean cada vez son más avanzados. Hoy vamos a tomar como ejemplo un caso del mundo real (un correo que sí recibimos) para demostrar las mejores prácticas y describir algunos trucos nuevos.

El nuevo truco de phishing: Un archivo adjunto HTML

En general, un e-mail de phishing incluye un hipervínculo a un sitio web falso. Esto es algo que siempre decimos: es necesario examinar los hipervínculos con cuidado, tanto en su aspecto general como en las direcciones web a las que redirigen (pasar el cursor sobre la URL revela la dirección objetivo en la mayoría de clientes de correo e interfaces web). Pero, como los usuarios se acostumbraron a este hábito de precaución, los suplantadores de identidad decidieron no incluir enlaces, sino archivos HTML, cuyo único propósito es automatizar la redirección.

Al hacer clic, el archivo adjunto HTML se abre en un navegador. En cuanto a su aspecto, el archivo solo contiene una línea de código (javascript: window.location.href) con la dirección del sitio web de suplantación de identidad (phishing) como variable. Lo que obliga al navegador a abrir el sitio web en la misma ventana.

Qué debes buscar en un correo de phishing

Haciendo a un lado las nuevas tácticas, el phishing no ha cambiado, así que comenzaremos por analizar el propio correo. Este es el mensaje real que recibimos. En este caso, es una notificación falsa de mensaje de voz:

Ejemplo de e-mail de phishing

Antes de hacer clic en el archivo adjunto, hay que hacernos algunas preguntas:

¿Conoces al remitente? ¿Es probable que el remitente te deje un mensaje de voz en el trabajo?
¿Es práctica común en tu empresa enviar mensajes de voz por correo electrónico? No es que se utilice mucho ahora, pero Microsoft 365 no ha tenido soporte de correo de voz desde enero del 2020.
¿Tienes claro desde qué aplicación se envió la notificación? MS Recorder no es parte del paquete de Office y, en cualquier caso, la aplicación de grabación de voz predeterminada de Microsoft, que en teoría podría enviar mensajes de voz, se llama Grabadora de voz, no MS Recorder.
¿El archivo adjunto parece un archivo de audio? Con Grabadora de voz se pueden compartir grabaciones de voz, pero se envían como archivos .m3a. Aunque la grabación provenga de una herramienta desconocida y se almacene en un servidor, debería incluir un enlace a esta, y no un archivo adjunto.

En resumen: Recibimos un correo de un remitente desconocido que supuestamente entrega un mensaje de voz (una herramienta que nunca usamos) que ha sido grabado con un programa desconocido y se ha enviado como una página web adjunta. ¿Vale la pena intentar abrirla? Definitivamente no.

Cómo reconocer una página de phishing

Supongamos que haces clic en el archivo adjunto y te lleva a una página de phishing. ¿Cómo puedes saber que no es un sitio legítimo?

Ejemplo de página web de phishing

Debes fijarte en esto:

¿El contenido de la barra de direcciones parece una dirección de Microsoft?
¿Los enlaces para “¿Problemas para acceder a su cuenta?” e “Iniciar sesión con una clave de seguridad” te redirigen a donde deberían? Incluso en una página de phishing, es posible que sí te lleven a páginas reales de Microsoft, aunque en nuestro caso, estaban inactivos, que es una señal clara de fraude.
¿La ventana se ve bien? En general, Microsoft no tiene problemas con detalles como la escala de la imagen de fondo. Y, aunque los problemas técnicos pueden ocurrir en cualquier momento, las anomalías deberían ponerte en alerta.

En cualquier caso, si tienes dudas, visita https://login.microsoftonline.com/ para apreciar cómo se ve la página real de inicio de sesión de Microsoft.

Cómo evitar caer en la trampa

Para evitar ceder las contraseñas de tu cuenta de Office a atacantes desconocidos:

Presta atención. Utiliza nuestras preguntas para evadir las formas más simples de phishing. Para aprender más trucos, prueba nuestros cursos de formación en materia de sensibilización de las ciberamenazas modernas.
Protege los buzones de correo de los empleados con una protección para Office 365 a fin de exponer los intentos de phishing con hipervínculos o con archivos HTML adjuntos y una protección para endpoints para evitar que se abran sitios de phishing.

Roban datos usando como gancho la declaración de la renta

Suplantan a la Agencia Tributaria: tienes un reembolso pendiente.

Privacidad y niños

Los trucos de phishing con Microsoft Office

El nuevo truco de phishing: Un archivo adjunto HTML

Qué debes buscar en un correo de phishing

Cómo reconocer una página de phishing

Cómo evitar caer en la trampa

Cómo detectar que estás en un sitio web hackeado

Dominios similares y cómo detectarlos

Roban datos usando como gancho la declaración de la renta

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia