Un nuevo ataque de 'phishing' se hace pasar por WeTransfer y Microsoft para robar credenciales

Un nuevo ataque de 'phishing' se hace pasar por WeTransfer y Microsoft para robar credenciales
Sin comentarios

Uno de los últimos ataques de tipo *phishing* detectados riza el rizo de la suplantación haciéndose pasar por dos compañías a la vez: primero simula ser WeTransfer y luego Microsoft. Así lo han detectado los especialistas de Armorblox, una compañía dedicada a brindar seguridad a cuentas de correo electrónico corporativas en la nube.

El objetivo de este elaborado ataque no es otro que el de robar las credenciales de acceso a Office 365 de las potenciales víctimas, explican los responsables del hallazgo. Un robo que, en caso de producirse, daría acceso a los atacantes a correos electrónicos, documentos, hojas de cálculo, presentaciones, notas, conversaciones y un largo etcétera, dependiendo de las herramientas usadas por la empresa afectada.

Para robar las credenciales de acceso a Office 365 los atacantes utilizan de gancho un correo que simula de ser de WeTransfer y que conduce a una web que se hace pasar por una de Microsoft Excel
Un vistazo a…
ROBO DE DATOS y PAQUETES NO SOLICITADOS QUÉ es el BRUSHING

Todo empieza con un correo que suplanta a WeTransfer

Correo que simula ser de WeTransfer
Correo que simula ser de WeTransfer. / Armorblox

El ataque detectado comienza con un correo electrónico que suplanta a WeTransfer y nos avisa de la supuesta recepción de unos ficheros. Como sabemos, este servicio es uno de tantos especializados en el envío de archivos grandes y se usa habitualmente en todo tipo de ámbitos, incluido el empresarial.

El mensaje recibido se asemeja a los enviados por esta plataforma y si no se presta demasiado atención a detalles como el correo electrónico remitente, que contiene un dominio que nada tiene que ver con WeTransfer, podría darse por bueno y pensarse que haciendo clic en Ver archivos veremos efectivamente los supuestos dos ficheros que han compartido con nosotros.

Aprovechando que ya conocen el correo electrónico de la víctima, en el formulario preparado para robar las credenciales la dirección ya se encuentra introducida
Página que simula pertenecer a Microsoft
Correo que simula ser de WeTransfer. / Armorblox

Si se hace clic en el enlace, las víctimas son conducidas a una página que simula ser de Microsoft. En este segundo phishing, más elaborado, vemos una hoja de cálculo de fondo difuminada y un formulario en primer plano, que simula ser de Microsoft Excel, en el que se solicita al usuario su dirección de correo electrónico y una contraseña para acceder al contenido.

Para revestir de mayor legitimidad al formulario, en un intento de generar confianza en la víctima, el campo del correo ya se encuentra rellenado con su dirección de correo electrónico. Si se rellena, pensándose que se trata de una web de Microsoft legítima, los atacantes habrán obtenido las credenciales de acceso a la plataforma de herramientas de los de Redmond.

Esta es una muestra más de la sofisticación e imaginación que emplean los atacantes para lograr sus objetivos con este tipo de ataques.

Temas
Inicio