La mayoría de los servicios online cuentan con un sistema de seguridad incorporado que alerta cuando detecta actividad “inusual” en tu cuenta. Por ejemplo, estos servicios pueden enviar notificaciones sobre los intentos de restablecimiento del número de teléfono y la dirección de correo electrónico vinculados a la cuenta o la contraseña. Evidentemente, conforme estos mensajes comenzaron a ganar popularidad, los ciberdelincuentes intentaron imitar este mecanismo para atacar a los usuarios corporativos.
Un ejemplo de notificación falsa
Si se trata de un servicio online público, los atacantes intentarán hacer todo lo posible por recrear el mensaje a la perfección de manera que parezca real. No obstante, si van tras el acceso a un sistema interno, a menudo tienen que usar la imaginación, ya que es posible que desconozcan la apariencia original del correo.
Todo parece absurdo en este correo, desde el lenguaje incorrecto hasta la lógica bastante dudosa del mensaje, que parece tratar a la vez sobre la vinculación de un nuevo número de teléfono y el envío de un código para restablecer la contraseña. Además, la dirección de correo electrónico del “equipo de soporte” tampoco aporta credibilidad al mensaje: no tiene ningún sentido que el correo electrónico de la asistencia técnica deba estar ubicado en un dominio extranjero (y mucho menos en uno chino).
Los atacantes esperan que su víctima, preocupada por la seguridad de su cuenta, haga clic en el botón rojo con el mensaje “No enviar el código”. Una vez hecho esto, será redirigida a un sitio web que imita la página de inicio de sesión de la cuenta y que, como habrás podido imaginar, lo único que hará será robar su contraseña. Entonces, la cuenta secuestrada podrá utilizarse para un ataque del tipo BEC o como una fuente de información para ataques futuros utilizando la ingeniería social.
Cómo deben actuar los empleados
Para reducir la posibilidad de que los ciberdelincuentes se hagan con las credenciales de los empleados, pídeles que tengan en cuenta las siguientes indicaciones:
- No hacer clic en enlaces de notificaciones de seguridad automáticas, independientemente de que parezcan o no reales.
- Si reciben una notificación, comprobar los ajustes de seguridad y los detalles vinculados. Para ello, deben abrir el sitio web en el navegador de forma manual.
- Es mejor ignorar y eliminar una notificación mal redactada (como la del ejemplo).
- Si la notificación parece real, notificar al servicio de seguridad de la información o al director de seguridad, podría ser un signo de ataque dirigido.
Cómo proteger a los empleados del phishing
En general, es mejor mantener los correos electrónicos de phishing alejados de las bandejas de entrada de los empleados. De hecho, el phishing (además del resto de correspondencia no deseada, como el spam, los mensajes con archivos adjuntos maliciosos y los correos electrónicos relacionados con ataques BEC) debería ser interceptado en la puerta de enlace del correo. Para combatir estas amenazas, recientemente hemos actualizado nuestra solución de protección de correo electrónico para puertas de enlace. Para más información, visita la página de Kaspersky Secure Mail Gateway.