Uno de los últimos ataques de tipo *phishing* detectados riza el rizo de la suplantación haciéndose pasar por dos compañías a la vez: primero simula ser WeTransfer y luego Microsoft. Así lo han detectado los especialistas de Armorblox, una compañía dedicada a brindar seguridad a cuentas de correo electrónico corporativas en la nube.
El objetivo de este elaborado ataque no es otro que el de robar las credenciales de acceso a Office 365 de las potenciales víctimas, explican los responsables del hallazgo. Un robo que, en caso de producirse, daría acceso a los atacantes a correos electrónicos, documentos, hojas de cálculo, presentaciones, notas, conversaciones y un largo etcétera, dependiendo de las herramientas usadas por la empresa afectada.
Todo empieza con un correo que suplanta a WeTransfer
Correo que simula ser de WeTransfer. / Armorblox
El ataque detectado comienza con un correo electrónico que suplanta a WeTransfer y nos avisa de la supuesta recepción de unos ficheros. Como sabemos, este servicio es uno de tantos especializados en el envío de archivos grandes y se usa habitualmente en todo tipo de ámbitos, incluido el empresarial.
El mensaje recibido se asemeja a los enviados por esta plataforma y si no se presta demasiado atención a detalles como el correo electrónico remitente, que contiene un dominio que nada tiene que ver con WeTransfer, podría darse por bueno y pensarse que haciendo clic en Ver archivos veremos efectivamente los supuestos dos ficheros que han compartido con nosotros.
Correo que simula ser de WeTransfer. / Armorblox
Si se hace clic en el enlace, las víctimas son conducidas a una página que simula ser de Microsoft. En este segundo phishing, más elaborado, vemos una hoja de cálculo de fondo difuminada y un formulario en primer plano, que simula ser de Microsoft Excel, en el que se solicita al usuario su dirección de correo electrónico y una contraseña para acceder al contenido.
Para revestir de mayor legitimidad al formulario, en un intento de generar confianza en la víctima, el campo del correo ya se encuentra rellenado con su dirección de correo electrónico. Si se rellena, pensándose que se trata de una web de Microsoft legítima, los atacantes habrán obtenido las credenciales de acceso a la plataforma de herramientas de los de Redmond.
Esta es una muestra más de la sofisticación e imaginación que emplean los atacantes para lograr sus objetivos con este tipo de ataques.
