Facturas y phishing son la combinación perfecta usada por los delincuentes para robar credenciales

Cuando analizamos campañas de correo maliciosas resulta interesante comprobar como los delincuentes siguen, en gran medida, reutilizando viejas técnicas para conseguir sus objetivos. Si nos centramos en aquellas campañas pensadas para robar credenciales a usuarios particulares y empresas vemos como esto se acentúa aún más, debido a que, solo con ligeras modificaciones, se sigue consiguiendo que caigan en este tipo de trampas un número importante de víctimas.

Supuestas facturas que no son lo que parece

De entre todos los ganchos que utilizan los delincuentes para engañar a sus víctimas todo aquello que tenga que ver con pagos y facturas suele tener bastante éxito. Por eso no es extraño observar como se reutilizan constantemente correos que suplantan a empresas y entidades gubernamentales de todo tipo reclamando pagos u ofreciendo devoluciones.

Este es el caso de algunos correos detectados en nuestro laboratorio durante las últimas horas, donde los delincuentes utilizan el nombre de una empresa de marketing digital y una factura pendiente de abono para tratar de engañar al usuario que reciba este correo y conseguir que pulse sobre el enlace proporcionado.

También durante las últimas horas hemos visto un mensaje más escueto que suplanta a una web colombiana pero que tiene la misma finalidad. La poca diferencia horaria y que ambos enlaces redirijan a la misma URL son indicios claros de que se trataría de la misma campaña usando dos correos diferentes.

Tal y como era de esperar, el enlace al que se intenta redirigir al usuario que caiga en la trampa resulta bastante sospechoso, algo que puede confirmarse si contamos con una solución de seguridad como las proporcionadas por ESET que detecte y avise de estos intentos de suplantación de identidad, evitando así que accedamos a la web maliciosa preparada por los delincuentes.

En caso de acceder a la web preparada por los atacantes nos encontraremos con una sencilla web donde se nos solicitarán nuestras credenciales de correo. Hemos de tener en cuenta que, aunque tanto usuarios particulares como empleados de empresas pueden caer en esta trampa, los correos suelen ir dirigidos a los departamentos comerciales y de administración de las empresas, por lo que esta campaña tiene la clara finalidad de obtener credenciales de correo corporativas.

¿Qué sucede con las credenciales robadas?

El robo de credenciales mediante webs de phishing o usando código malicioso es algo que se ha incrementado notablemente durante los últimos años, aunque pocos usuarios y empresas parecen darla la importancia que tienen. Normalmente, el robo de estas credenciales solo son la primera parte dentro del plan de los ciberdelincuentes, un plan que puede causar mayores o menores daños dependiendo de como se utilicen las contraseñas obtenidas.

En el mejor de los casos, estas credenciales de correo pueden usarse para enviar nuevos emails maliciosos a otras empresas o particulares, emails que pueden contener todo tipo de estafas, malware o continuar robando contraseñas. Esto puede causar un daño reputacional a la empresa o particular afectado, ya que aparecerán ellos como remitentes.

En el segundo escalón de gravedad encontramos a aquellos delincuentes que buscan obtener estas credenciales para poder acceder a los correos de aquellos empleados encargados de realizar pagos y cobros dentro de una empresa. De esta forma, pueden analizar como se realizan estas operaciones y con que clientes y proveedores para, llegado el momento, suplantarlos y hacer que se realicen los pagos a una cuenta controlada por los atacantes, algo de lo que la empresa víctima no se dará cuenta hasta que sea demasiado tarde.

Y pasando a uno de los casos más graves tenemos a aquellos delincuentes que utilizan estas credenciales para ponerse en contacto con otros empleados de la empresa y conseguir que ejecuten código malicioso o directamente, consigan mediante la ingeniería social credenciales que les den acceso a sistemas críticos de la empresa. Una vez conseguido este acceso, los delincuentes pueden robar información confidencial, cifrarla y solicitar un rescate, tanto por descifrarla como para impedir su publicación.

Como vemos, el robo de credenciales puede ser el inicio de una pesadilla para muchas empresas (y también particulares) y es algo que debemos controlar para detectar cuando se ha producido un incidente de este tipo y mitigar sus consecuencias. Para eso, además de soluciones de seguridad que detecten cuando se está intentando acceder a una web maliciosa, es importante monitorizar la actividad de los usuarios, detectando cuando tienen comportamientos anómalos, además de proteger las cuentas corporativas de todo tipo con medidas adicionales de seguridad como el doble factor de autenticación.

Conclusión

Por muy simples que nos puedan parecer algunas de las campañas ideadas por los ciberdelincuentes para robar información de todo tipo, no debemos confiarnos ya que estos siguen consiguiendo víctimas. Resulta indispensable aplicar las medidas de seguridad necesarias que impidan este tipo de incidentes que, aunque en primera instancia puedan parecer de poca gravedad, pueden terminar suponiendo un grave problema para las empresas y la información que almacenan.

Josep Albors