Kaspersky ha descubierto un fraude de phishing en fases múltiples dirigido a empleados que trabajan con documentación financiera. El engaño comienza cuando las víctimas reciben un correo electrónico de la dirección legítima de una empresa de auditoría. Esta interacción inicial pretende hacer que el destinatario sospeche menos: como un paso previo para facilitar la actividad fraudulenta principal. A continuación, llega una notificación del servicio Dropbox, que contiene enlaces maliciosos a archivos en los que los ciberdelincuentes han subido archivos de phishing diseñados para robar credenciales.
El primer paso de este tipo de ataque consiste en que las víctimas reciban correos electrónicos supuestamente de una empresa de auditoría legítima. Estos correos se envían desde una dirección auténtica, que muy probablemente ha sido hackeada por los atacantes. Para ello, utilizan tácticas de ingeniería social para bajar la guardia de las víctimas y prepararlas para recibir un archivo de Dropbox.
El primer paso de la estafa: la víctima recibe un correo electrónico de un supuesto “auditor”
“El correo electrónico parece fiable tanto desde el punto de vista humano como desde el punto de vista del software de protección. Presenta una historia creíble en la que se afirma que una empresa auditora oficial tiene información para el destinatario, junto con una cláusula de exención de responsabilidad sobre el intercambio de información confidencial. Además, el correo electrónico no contiene enlaces ni archivos adjuntos y proviene de una dirección de empresa fácil de buscar, lo que lo hace casi imposible de detectar por un filtro de spam», afirma Roman Dedenok, experto en seguridad de Kaspersky.
El único rasgo sospechoso de este correo electrónico es que el remitente utiliza “Dropbox Application Secured Upload“, un servicio que no existe. Aunque los archivos subidos a Dropbox se pueden proteger con contraseña, no ofrecen ninguna funcionalidad adicional.
Después de este correo electrónico, los ciberdelincuentes envían a sus víctimas una notificación oficial de Dropbox. Si el destinatario ya ha sido influenciado por el mensaje inicial, es más probable que siga el enlace para revisar el documento.
Notificación de Dropbox
Al hacer clic en el enlace aparece un documento borroso con una ventana de autenticación superpuesta. El documento actúa como un gran botón, siendo toda su superficie un enlace malicioso. Al hacer clic, el usuario verá un formulario que solicita su nombre de usuario y contraseña corporativos: credenciales que los ciberdelincuentes pretenden robar mediante este esquema de varios pasos.
Archivo PDF malicioso subido a Dropbox, imitando una solicitud de autenticación
Estos ataques se consideran dirigidos y fueron observados por Kaspersky en casos aislados. Para mantenerse protegido, es aconsejable advertir a los empleados y fomentar la vigilancia. Otros consejos útiles son:
- Proporcionar al personal formación básica sobre higiene en ciberseguridad. Se puede realizar un ataque de phishing simulado para asegurarse de que los empleados saben distinguir los correos electrónicos de phishing.
- En general, todos los empleados de la empresa deben recordar que deben introducir su contraseña de trabajo solo en las webs propiedad de su organización. Ni Dropbox ni los auditores externos pueden conocer ni necesitar su contraseña de trabajo.
- Dado que los delincuentes idean constantemente esquemas más sofisticados para robar datos de cuentas corporativas, es recomendable implementar soluciones de protección en tiempo real, visibilidad de amenazas, investigación y respuesta.
El esquema al detalle está disponible en el blog de Kaspersky.