Esta estafa de phishing amenaza con secuestrar cuentas de Microsoft 365 usando correos de voz falsos

Microsoft 365 tenía más de 155 millones de usuarios comerciales en 2018 , y con su popularidad en continuo crecimiento, no es de extrañar que los piratas informáticos consideren que vale la pena atacar a los usuarios de dichos servicios. Según los especialistas de McAfee Labs que descubrieron una estafa de phishing dirigida a usuarios de Microsoft 365, los piratas informáticos parecen estar usando mensajes de correo de voz falsos para engañar a sus víctimas y revelar las credenciales de inicio de sesión de sus cuentas de Microsoft 365. No es la primera vez que los ciberdelincuentes emplean servicios de correo de voz para atacar a los usuarios. No hace mucho tiempo, los hackers intentaron apoderarse de las cuentas de los usuarios de WhatsApp que usaban contraseñas predeterminadas para sus servicios de correo de voz. Esta vez, el escenario es un poco diferente ya que los hackers no necesitan acceder a su correo de voz. Si lee nuestro artículo completo, puede obtener más información sobre cómo funciona esta estafa y cómo proteger la cuenta de Microsoft 365 para asegurarse de que los ciberdelincuentes tengan dificultades para piratearla.

¿Cómo funciona la estafa del correo de voz?

Un usuario que está siendo objetivo debe recibir un correo electrónico de phishing que debería decir que ha perdido una llamada telefónica de un número de teléfono en particular. Es posible que el correo electrónico no parezca sospechoso en absoluto si no revisa el mensaje cuidadosamente. Debe contener el logotipo de Microsoft, así como información sobre una llamada perdida. Lo que puede parecer extraño es que el correo electrónico puede contener una nota que dice: " Este es un mensaje automatizado y necesita atención inmediata, por favor no responda". "No solo tiene errores gramaticales, sino que también insta al usuario a hacer algo, lo que siempre debe levantar una bandera roja". ¿Cómo puede un sistema saber que el mensaje es importante o que necesita su atención inmediata?

Si un usuario cae en la mentira y abre el archivo HTML adjunto al correo electrónico de phishing, podría ser redirigido a un sitio web de phishing. El texto en el sitio falso de correo de voz debería decir: " Espere mientras Microsoft obtiene su mensaje de voz del servidor. “Muy pronto, una víctima podría escuchar una parte de un mensaje de voz falso grabado por los estafadores. Por supuesto, para escuchar la grabación completa, se les puede pedir a los usuarios que inicien sesión en su cuenta de Microsoft 365. Por lo tanto, el sitio web de phishing debería redirigir a las víctimas a un sitio web de inicio de sesión falso, que podría usar el diseño de Microsoft y el logotipo de la compañía. En consecuencia, los usuarios pueden pensar que están en un sitio legítimo de inicio de sesión de Microsoft 365.

Después de que una víctima envíe sus credenciales de inicio de sesión de Microsoft 365, debería ver un mensaje que dice que inició sesión correctamente. Poco después de verlo, un usuario debe ser redirigido al sitio web legítimo de office.com. Por lo tanto, podría llevar algún tiempo darse cuenta de que no había un mensaje de correo de voz y que las credenciales de inicio de sesión de la cuenta enviadas fueron registradas por ciberdelincuentes.

¿Cómo asegurar la cuenta de Microsoft 365?

En lugar de entrar en pánico sobre la última estafa de phishing, le recomendamos aprender cómo proteger las cuentas de Microsoft 365 para continuar usando estos servicios sin temor a que sus cuentas o las de sus empleados puedan ser pirateadas. Para hacerlo, recomendamos utilizar los consejos que se enumeran a continuación.

Habilitar autenticación de dos factores

La autenticación de dos factores es una excelente manera de agregar una capa de seguridad adicional a cualquier cuenta. Después de habilitarlo, se debe solicitar a los usuarios que proporcionen no solo las credenciales de inicio de sesión de una cuenta, sino también un código de verificación recibido por correo electrónico o por teléfono. En tal caso, incluso si los ciberdelincuentes descubren el nombre de usuario y la contraseña de una cuenta, aún no podrán iniciar sesión sin proporcionar el código requerido. Sin embargo, tenga en cuenta que, como cualquier otra medida de seguridad , la Autenticación de dos factores no puede garantizar una protección absoluta , por lo que es más inteligente tomar tantas precauciones de seguridad como sea posible.

Configurar contraseñas seguras

Incluso si habilita la autenticación de dos factores, no significa que pueda usar contraseñas memorables y débiles. Para garantizar que su cuenta de Microsoft 365 sea lo más segura posible, le recomendamos configurar una contraseña segura. Los especialistas recomiendan usar al menos 10-12 caracteres que deben incluir letras minúsculas y mayúsculas, números y símbolos para crear una combinación de contraseña segura. Si cree que no puede encontrar una contraseña de este tipo o no puede memorizarla, le recomendamos que utilice una herramienta específica como Cyclonis Password Manager que se encargará de esto.

Cuentas administrativas seguras

Las cuentas administrativas de los servicios de Microsoft 365 pueden proporcionar varios privilegios y, por lo tanto, los cibercriminales pueden atacarlos con más frecuencia. Por lo tanto, los especialistas recomiendan asegurarse de que dichas cuentas estén protegidas con contraseñas únicas y autenticación de dos factores. Además, es recomendable utilizar dichas cuentas solo cuando sea necesario y cerrar las pestañas innecesarias del navegador antes de acceder a ellas.

Educar a los empleados que usan los servicios de Microsoft 365

Incluso si usa múltiples precauciones de seguridad para asegurar la cuenta de Microsoft 365, aún podría ser pirateada debido a un error humano. Las empresas que deseen evitar que esto suceda deben educar a sus empleados sobre la seguridad cibernética y las últimas amenazas cibernéticas. Por ejemplo, para garantizar que los correos electrónicos fraudulentos dirigidos a usuarios de Microsoft 365 se detecten a tiempo, se debe enseñar a sus empleados cómo reconocer los correos electrónicos y sitios web de phishing. Además, los empleados deben saber todo acerca de los programas y servicios que usan en su trabajo para saber qué esperar de ellos y qué tipo de comportamiento o solicitudes del software que usan pueden ser sospechosas.

En general, la última estafa dirigida a los usuarios de Microsoft 365 nos muestra que los correos electrónicos de phishing aún no deben olvidarse. Lamentablemente, el escrutinio de correos electrónicos sigue siendo necesario para aquellos de nosotros que no queremos ser estafados. Además, es igual de importante seguir las noticias de seguridad cibernética para aprender sobre tales ataques a tiempo. Con suerte, esta publicación de blog ayudará a difundir la conciencia sobre esta estafa de phishing y ayudará a los usuarios a proteger sus cuentas de Microsoft 365 para protegerlos de ser pirateados. Para aquellos que pueden no haber aprendido sobre estos correos electrónicos de phishing a tiempo y pueden haber revelado sus credenciales de inicio de sesión a los ciberdelincuentes, recomendamos utilizar la guía provista por Microsoft.

En Foley
December 12, 2019
News
Spanish
December 12, 2019
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.