{"id":25117,"date":"2021-04-20T18:40:00","date_gmt":"2021-04-20T16:40:00","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25117"},"modified":"2021-09-20T10:51:10","modified_gmt":"2021-09-20T08:51:10","slug":"office-phishing-html-attachment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/office-phishing-html-attachment\/25117\/","title":{"rendered":"Los trucos de phishing con Microsoft Office"},"content":{"rendered":"

Cuando los ciberdelincuentes tienen acceso a una cuenta de correo electr\u00f3nico corporativo, pueden realizar ataques que comprometan el correo electr\u00f3nico de una empresa<\/a>. Por ello, cientos de e-mails<\/em> de phishing<\/em> se dirigen a usuarios corporativos pidiendo que inicien sesi\u00f3n en los sitios web que simulan ser la p\u00e1gina de inicio de MS Office. Y esto significa que es muy importante saber a qu\u00e9 hay que prestar atenci\u00f3n si un enlace te redirige a una p\u00e1gina como esa.<\/p>\n

Los ciberdelincuentes que roban credenciales para cuentas de Microsoft Office no son nada nuevo<\/a>. Sin embargo, los m\u00e9todos que los atacantes emplean cada vez son m\u00e1s avanzados. Hoy vamos a tomar como ejemplo un caso del mundo real (un correo que s\u00ed recibimos) para demostrar las mejores pr\u00e1cticas y describir algunos trucos nuevos.<\/p>\n

El nuevo truco de phishing<\/em>: Un archivo adjunto HTML<\/h2>\n

En general, un e-mail <\/em>de phishing<\/em> incluye un hiperv\u00ednculo a un sitio web falso. Esto es algo que siempre decimos: es necesario examinar los hiperv\u00ednculos con cuidado, tanto en su aspecto general como en las direcciones web a las que redirigen (pasar el cursor sobre la URL revela la direcci\u00f3n objetivo en la mayor\u00eda de clientes de correo e interfaces web). Pero, como los usuarios se acostumbraron a este h\u00e1bito de precauci\u00f3n, los suplantadores de identidad decidieron no incluir enlaces, sino archivos HTML, cuyo \u00fanico prop\u00f3sito es automatizar la redirecci\u00f3n.<\/p>\n

Al hacer clic, el archivo adjunto HTML se abre en un navegador. En cuanto a su aspecto, el archivo solo contiene una l\u00ednea de c\u00f3digo (javascript: window.location.href) con la direcci\u00f3n del sitio web de suplantaci\u00f3n de identidad (phishing<\/em>) como variable. Lo que obliga al navegador a abrir el sitio web en la misma ventana.<\/p>\n

Qu\u00e9 debes buscar en un correo de phishing<\/em><\/h2>\n

Haciendo a un lado las nuevas t\u00e1cticas, el phishing<\/em> no ha cambiado, as\u00ed que comenzaremos por analizar el propio correo. Este es el mensaje real que recibimos. En este caso, es una notificaci\u00f3n falsa de mensaje de voz:<\/p>\n

\"\"

Ejemplo de e-mail de phishing<\/p><\/div>\n

Antes de hacer clic en el archivo adjunto, hay que hacernos algunas preguntas:<\/p>\n

    \n
  1. \u00bfConoces al remitente? \u00bfEs probable que el remitente te deje un mensaje de voz en el trabajo?<\/li>\n
  2. \u00bfEs pr\u00e1ctica com\u00fan en tu empresa enviar mensajes de voz por correo electr\u00f3nico? No es que se utilice mucho ahora, pero Microsoft 365 no ha tenido soporte de correo de voz desde enero del 2020.<\/li>\n
  3. \u00bfTienes claro desde qu\u00e9 aplicaci\u00f3n se envi\u00f3 la notificaci\u00f3n? MS Recorder no es parte del paquete de Office y, en cualquier caso, la aplicaci\u00f3n de grabaci\u00f3n de voz predeterminada de Microsoft, que en teor\u00eda podr\u00eda enviar mensajes de voz, se llama Grabadora de voz, no MS Recorder.<\/li>\n
  4. \u00bfEl archivo adjunto parece un archivo de audio? Con Grabadora de voz se pueden compartir grabaciones de voz, pero se env\u00edan como archivos .m3a. Aunque la grabaci\u00f3n provenga de una herramienta desconocida y se almacene en un servidor, deber\u00eda incluir un enlace a esta, y no un archivo adjunto.<\/li>\n<\/ol>\n

    En resumen: Recibimos un correo de un remitente desconocido que supuestamente entrega un mensaje de voz (una herramienta que nunca usamos) que ha sido grabado con un programa desconocido y se ha enviado como una p\u00e1gina web adjunta. \u00bfVale la pena intentar abrirla? Definitivamente no.<\/p>\n

    C\u00f3mo reconocer una p\u00e1gina de phishing<\/em><\/h2>\n

    Supongamos que haces clic en el archivo adjunto y te lleva a una p\u00e1gina de phishing<\/em>. \u00bfC\u00f3mo puedes saber que no es un sitio leg\u00edtimo?<\/p>\n

    \"\"

    Ejemplo de p\u00e1gina web de phishing<\/p><\/div>\n

    Debes fijarte en esto:<\/p>\n

      \n
    1. \u00bfEl contenido de la barra de direcciones parece una direcci\u00f3n de Microsoft?<\/li>\n
    2. \u00bfLos enlaces para \u201c\u00bfProblemas para acceder a su cuenta?\u201d e \u201cIniciar sesi\u00f3n con una clave de seguridad\u201d te redirigen a donde deber\u00edan? Incluso en una p\u00e1gina de phishing<\/em>, es posible que s\u00ed te lleven a p\u00e1ginas reales de Microsoft, aunque en nuestro caso, estaban inactivos, que es una se\u00f1al clara de fraude.<\/li>\n
    3. \u00bfLa ventana se ve bien? En general, Microsoft no tiene problemas con detalles como la escala de la imagen de fondo. Y, aunque los problemas t\u00e9cnicos pueden ocurrir en cualquier momento, las anomal\u00edas deber\u00edan ponerte en alerta.<\/li>\n<\/ol>\n

      En cualquier caso, si tienes dudas, visita https:\/\/login.microsoftonline.com\/<\/a> para apreciar c\u00f3mo se ve la p\u00e1gina real de inicio de sesi\u00f3n de Microsoft.<\/p>\n

      C\u00f3mo evitar caer en la trampa<\/h2>\n

      Para evitar ceder las contrase\u00f1as de tu cuenta de Office a atacantes desconocidos:<\/p>\n