Los ciberdelincuentes emplean los formularios de Google para extraer las credenciales de inicio de sesión de los usuarios de Office 365 que no lo esperan

Salvo algunas excepciones, atacar a una organización tiene el potencial de ser mucho más rentable que atacar a un usuario doméstico. Las empresas comerciales tienen mucho más que perder. Procesan datos de empresas y clientes que no quieren ver comprometidos y, en su mayor parte, saben que piratear sus sistemas podría tener consecuencias importantes. A la luz de esto, podría pensar que piratear con éxito una organización empresarial requiere mucha más sofisticación. Sin embargo, una reciente campaña de phishing sobre la cual escribió Cofense muestra que este no es siempre el caso.

Usuarios de Office 365 dirigidos por una campaña de phishing

Los expertos de Cofense dijeron que han visto un aumento notable en el número de correos electrónicos de phishing dirigidos a usuarios de Office 365 que trabajan para empresas de todas las formas y tamaños. La campaña que examinaron más de cerca comenzó con otro ataque.

Los ladrones de alguna manera lograron comprometer la cuenta de correo electrónico de una persona que trabaja para CIM Finance, una compañía de servicios financieros. Después del ataque inicial, los delincuentes utilizaron los sistemas de CIM Finance para enviar una gran cantidad de correos electrónicos de phishing, y el hecho de que los mensajes provenían de una compañía real los ayudó a pasar por controles antifalsificación como DKIM y SPF.

Los correos electrónicos supuestamente provienen de un "equipo corporativo de TI" que está alertando al destinatario sobre el vencimiento de su cuenta de Office 365. El mensaje indica que el usuario debe actualizar su contraseña si no quiere ver su cuenta suspendida. Como ya habrás adivinado, el botón "Actualizar ahora" lleva a una página que no está conectada a Office 365 de ninguna manera.

En cambio, las víctimas ven una página de inicio de sesión creada con Google Forms que se hace pasar por la de Microsoft y le pide al usuario sus credenciales. Cualquier cosa ingresada en los campos se envía a los delincuentes con la ayuda de otro servicio gratuito ofrecido por el gigante de motores de búsqueda favorito del mundo: Google Drive.

Un ataque brusco que podría ser muy efectivo.

Los ladrones no pusieron mucho esfuerzo en el ataque. El hecho de que comiencen por comprometer una cuenta en una compañía legítima puede engañarlo y hacerle creer que saben lo que están haciendo, pero en general, no han demostrado el nivel de sofisticación que podría haber esperado de un grupo de delincuentes. tratando de atacar a los usuarios comerciales.

Al utilizar Google Forms para armar la página de phishing, por ejemplo, los delincuentes probablemente lograron ahorrar unos cuantos dólares, pero esto no hizo nada para que la estafa parezca más legítima. De hecho, una página servida por un servicio de Google mostrará un ícono de candado verde en la barra de direcciones, lo que podría engañar a algunas personas. Por otra parte, los phishers menos perezosos instalan certificados SSL en sus kits de phishing cuidadosamente diseñados de todos modos, por lo que esto no es una gran ventaja.

El falso formulario de inicio de sesión fue descrito como "deficiente" por los investigadores de Cofense, lo que no es realmente una sorpresa teniendo en cuenta las limitaciones que tiene Google Forms. Los expertos dijeron que el diseño está lejos de ser convincente y que algunos errores de formato y capitalización delatan la estafa con bastante rapidez. El hecho de que cuando un usuario ingresa su contraseña en el campo, aparece como texto sin formato, seguramente también activará algunas alarmas. O lo hará?

Sin lugar a dudas, esto está lejos de ser el ataque de phishing más sofisticado, pero el simple hecho de que exista muestra que los delincuentes están apostando por su éxito. Cualquier campaña de phishing se basa en el fracaso de las personas para detectar los signos a veces obvios de una estafa, y los terabytes sobre terabytes de nombres de usuario y contraseñas robados que se comercializan en los mercados clandestinos todos los días muestran que esto sucede con más frecuencia de lo que debería. Ningún ataque, sin importar cuán mal ejecutado pueda parecer, debe subestimarse.