{"id":23608,"date":"2020-08-08T13:18:12","date_gmt":"2020-08-08T11:18:12","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23608"},"modified":"2020-08-08T13:18:12","modified_gmt":"2020-08-08T11:18:12","slug":"phishing-email-scanner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/phishing-email-scanner\/23608\/","title":{"rendered":"Un esc\u00e1ner falso de correo electr\u00f3nico"},"content":{"rendered":"

En los \u00faltimos a\u00f1os, ha sido muy t\u00edpico ver noticias sobre redes corporativas que se han infectado mediante correo electr\u00f3nico (y que, tambi\u00e9n, guardaban relaci\u00f3n con un ransomware<\/em>). Por lo tanto, no es sorprendente que los estafadores utilicen este tema para intentar hacerse con las credenciales de las cuentas de correos corporativos convenciendo a los empleados de la empresa de que ejecuten un an\u00e1lisis de su buz\u00f3n.<\/p>\n

La estrategia va dirigida a personas que conocen la posible amenaza del malware<\/em> en el correo electr\u00f3nico, pero que no tienen conocimientos suficientes sobre c\u00f3mo tratarla. El personal de seguridad de la informaci\u00f3n har\u00eda bien en explicar estos trucos a los empleados y utilizarlos como ejemplos para mostrarles qu\u00e9 deben buscar para evitar ser v\u00edctimas de los cibercriminales.<\/p>\n

Correo electr\u00f3nico de phishing<\/em><\/h2>\n

Este mensaje falso emplea el viejo truco de intimidar a la v\u00edctima. El encabezado es \u201cAlerta de virus\u201d seguido de tres signos de exclamaci\u00f3n. Por muy insignificante que parezca la puntuaci\u00f3n, es lo primero que deber\u00eda avisar al destinatario de que hay algo que no va bien. La puntuaci\u00f3n innecesaria en un correo de trabajo es un signo de dramatismo o falta de profesionalidad. De cualquier manera, ese tipo de puntuaci\u00f3n resulta inapropiada en una notificaci\u00f3n cuya finalidad es, supuestamente, transmitir informaci\u00f3n sobre una amenaza.<\/p>\n

\"Correo<\/p>\n

La pregunta principal que los destinatarios deben hacerse es: \u00bfqui\u00e9n envi\u00f3 el mensaje? El correo electr\u00f3nico afirma que, de no llevar a cabo ninguna acci\u00f3n, la cuenta del destinatario se bloquear\u00e1, por lo que es l\u00f3gico pensar que lo ha enviado el servicio inform\u00e1tico que proporciona soporte al servidor del correo corporativo o los empleados del proveedor de servicios de correo electr\u00f3nico.<\/p>\n

Pero es importante entender que ning\u00fan proveedor o servicio interno requerir\u00eda la acci\u00f3n del usuario para analizar el contenido del buz\u00f3n. El an\u00e1lisis se realiza autom\u00e1ticamente en el servidor de correo. Adem\u00e1s, pocas veces la \u201cactividad de un virus\u201d ocurre dentro de una cuenta. Aunque alguien enviara un virus, el destinatario tendr\u00eda que descargarlo y ejecutarlo. Es decir, la infecci\u00f3n tiene lugar en el ordenador, no en la cuenta de correo.<\/p>\n

Volviendo a la primera pregunta, si miramos el remitente, podremos identificar dos se\u00f1ales de alerta inmediatas. Primero, el correo electr\u00f3nico se envi\u00f3 desde una cuenta de Hotmail, mientras que una notificaci\u00f3n leg\u00edtima mostrar\u00eda el dominio de la empresa o del proveedor. Segundo, se dice que el mensaje proviene del \u201cEquipo de Seguridad de Correo Electr\u00f3nico\u201d. Si la empresa del destinatario utiliza un proveedor externo de servicios de correo, su nombre debe aparecer en la firma. Y si el servidor de correo est\u00e1 en la infraestructura corporativa, la notificaci\u00f3n vendr\u00e1 del departamento inform\u00e1tico interno o del servicio de seguridad de la informaci\u00f3n, pues las probabilidades de que un equipo entero sea responsable \u00fanicamente de la seguridad del correo electr\u00f3nico son m\u00ednimas.<\/p>\n

Lo siguiente es el enlace. La mayor\u00eda de los clientes de correo electr\u00f3nico modernos muestran la URL escondida detr\u00e1s del hiperv\u00ednculo. Si se pide al destinatario que haga clic en un esc\u00e1ner de correo electr\u00f3nico alojado en un dominio que no pertenece ni a su empresa ni al proveedor de correo, es casi seguro que se trate de phishing<\/em>.<\/p>\n

Sitio de phishing<\/em><\/h2>\n

El sitio parece una especie de esc\u00e1ner de correo electr\u00f3nico online<\/em>. Con el fin de parecer leg\u00edtimo, muestra los logotipos de algunos proveedores de antivirus y hasta el encabezado lleva el nombre de la empresa del destinatario; con ello se pretende eliminar cualquier duda sobre de qui\u00e9n es la herramienta. El sitio primero simula un escaneo, luego lo interrumpe con el mensaje no programado \u201cConfirme su cuenta a continuaci\u00f3n para completar el escaneo del correo electr\u00f3nico y eliminar todos los archivos infectados\u201d. Y, claro, la contrase\u00f1a de la cuenta es necesaria para ello.<\/p>\n

\"Interfaz<\/p>\n

Para determinar la naturaleza del sitio, en primer lugar tienes que analizar el contenido de la barra de direcciones del navegador y, como hemos dicho, ver\u00e1s que no est\u00e1s en el dominio correcto. En segundo lugar, lo m\u00e1s probable es que la URL contenga la direcci\u00f3n de correo electr\u00f3nico del destinatario. Eso en s\u00ed mismo est\u00e1 bien , pues la ID de usuario podr\u00eda haber pasado a trav\u00e9s de la URL. Pero en caso de que tengas dudas sobre la legitimidad del sitio, sustituye la direcci\u00f3n por caracteres arbitrarios (pero mant\u00e9n el s\u00edmbolo @ para conservar la apariencia de una direcci\u00f3n de correo electr\u00f3nico).<\/p>\n

Los sitios de este tipo utilizan la direcci\u00f3n proporcionada por el enlace en el correo electr\u00f3nico de phishing<\/em> para rellenar los espacios en blanco en la plantilla de la p\u00e1gina. Para el experimento, utilizamos la direcci\u00f3n inexistente victima@tuempresa.org, y el sitio sustituy\u00f3 debidamente \u201ctuempresa\u201d en el nombre del esc\u00e1ner, y la direcci\u00f3n completa en el nombre de la cuenta, con lo que, aparentemente, empez\u00f3 el an\u00e1lisis de los archivos adjuntos inexistentes en los correos electr\u00f3nicos inexistentes. Repitiendo el experimento con una direcci\u00f3n diferente, vimos que los nombres de los archivos adjuntos en cada \u201can\u00e1lisis\u201d eran los mismos.<\/p>\n

\"El<\/p>\n

Otra inconsistencia es que el esc\u00e1ner, supuestamente, analiza el contenido del buz\u00f3n sin necesidad de autenticaci\u00f3n. Entonces, \u00bfpor qu\u00e9 solicita la contrase\u00f1a?<\/p>\n

\u00a0<\/p>\n

C\u00f3mo proteger a tus empleados del phishing<\/em><\/h2>\n

Hemos analizado con detalle los signos de phishing<\/em> tanto en el correo electr\u00f3nico como en el sitio web del esc\u00e1ner falso. El simple hecho de mostrar este mensaje a los empleados les dar\u00e1 una idea aproximada de lo que deben buscar. Pero eso es solo la punta del iceberg. Algunos correos electr\u00f3nicos falsos son m\u00e1s sofisticados y dif\u00edciles de detectar.<\/p>\n

Por lo tanto, recomendamos que los empleados est\u00e9n concienciados y al tanto de las \u00faltimas ciberamenazas; por ejemplo, con nuestra plataforma Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

Adem\u00e1s, utiliza soluciones de seguridad capaces de detectar correos electr\u00f3nicos de phishing<\/em> en el servidor de correo y bloquear las redirecciones a sitios de phishing<\/em> en los equipos de trabajo. Kaspersky Endpoint Security for Business<\/a> hace ambas cosas. Adem\u00e1s, ofrecemos una soluci\u00f3n que mejora los mecanismos de protecci\u00f3n incorporados de Microsoft Office 365<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Te contamos con detalle nuestro an\u00e1lisis sobre un sitio de phishing que se hace pasar por un esc\u00e1ner de correo electr\u00f3nico y sus intentos para enga\u00f1ar a las v\u00edctimas.<\/p>\n","protected":false},"author":2481,"featured_media":23610,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[538,614,43],"class_list":{"0":"post-23608","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-correo-electronico","11":"tag-ingenieria-social","12":"tag-phishing"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/phishing-email-scanner\/23608\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/phishing-email-scanner\/21655\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/phishing-email-scanner\/17118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/phishing-email-scanner\/22983\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/phishing-email-scanner\/21174\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/phishing-email-scanner\/19808\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/phishing-email-scanner\/22514\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/phishing-email-scanner\/28863\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/phishing-email-scanner\/8670\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/phishing-email-scanner\/36661\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/phishing-email-scanner\/15423\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/phishing-email-scanner\/15874\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/phishing-email-scanner\/13831\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/phishing-email-scanner\/24883\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/phishing-email-scanner\/28963\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/phishing-email-scanner\/25831\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/phishing-email-scanner\/22697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/phishing-email-scanner\/27944\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/phishing-email-scanner\/27774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23608","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2481"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=23608"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23608\/revisions"}],"predecessor-version":[{"id":23611,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23608\/revisions\/23611"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/23610"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=23608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=23608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=23608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}