Los correos electrónicos de phishing de FedEx y DHL se dirigen a los usuarios de Microsoft

Los investigadores de seguridad han descubierto intentos de phishing de FedEx y DHL Express dirigidos a unos 10.000 buzones de correo.

Empresa de seguridad informática Armorblox escribió en una publicación de blog que ambos ataques golpearon a los usuarios de correo electrónico de Microsoft para robar credenciales y utilizaron páginas falsas de phishing alojadas en dominios legítimos, incluidos Quip y Google Firebase, para eludir los filtros de seguridad.

«Los títulos de los correos electrónicos, los nombres de los remitentes y el contenido hicieron lo suficiente para enmascarar su verdadera intención y hacer creer a las víctimas que los correos electrónicos provenían de FedEx y DHL Express, respectivamente», dijeron los investigadores de Armorblox.

“Los correos electrónicos que nos informan sobre documentos escaneados de FedEx o entregas de DHL perdidas no son fuera de lo común; la mayoría de los usuarios tenderán a tomar medidas rápidas en estos correos electrónicos en lugar de estudiarlos en detalle para detectar cualquier inconsistencia. «

Un ataque falsificó a FedEx con un correo electrónico titulado «Tiene un nuevo FedEx enviado», seguido de la fecha en que se envió el correo electrónico. El correo electrónico contiene información sobre un documento para que parezca legítimo y enlaces para ver el supuesto documento.

Cuando una víctima hace clic en el enlace, la lleva a un archivo alojado en Quip, una herramienta adicional de Salesforce que proporciona documentos, hojas de cálculo, diapositivas y servicios de chat. Quip tiene una versión gratuita, probablemente utilizada por los atacantes para alojar esta página.

«Hemos notado una tendencia continua de actores maliciosos que alojan páginas de phishing en servicios legítimos como Google Sites, Box y Quip (en este caso)», dijeron los investigadores.

«La mayoría de estos servicios tienen versiones gratuitas y son fáciles de usar, lo que los hace beneficiosos para millones de personas en todo el mundo, pero desafortunadamente también reducen el listón para que los ciberdelincuentes lancen con éxito ataques de phishing».

La página falsa alojada por Quip se titula «Ha recibido algunos archivos de FedEx recibidos» y presenta un gran logotipo de FedEx para generar confianza. Hay un enlace en el sitio donde las víctimas pueden revisar el documento falso.

Una vez que el usuario hace clic en el enlace, lo dirige a una página de phishing que se asemeja al portal de autenticación de Microsoft que los piratas informáticos alojaban en Google Firebase, una plataforma para crear aplicaciones móviles y web.

Si la víctima ingresa datos de inicio de sesión incorrectos, la página vuelve a cargar el portal de inicio de sesión con un mensaje de error que le pide a la víctima que ingrese la información correcta. Según los investigadores, «esto podría indicar un mecanismo de validación de backend para verificar la veracidad de los detalles ingresados».

Los investigadores agregaron que «los atacantes podrían intentar recopilar tantas direcciones de correo electrónico y contraseñas como sea posible, y el mensaje de error seguirá apareciendo independientemente de los detalles ingresados».

En la segunda campaña de phishing, el nombre del remitente aparece como «DHL Express» y el asunto es «Su paquete ha llegado» con la dirección de correo electrónico de la víctima al final.

El correo electrónico informa a las víctimas que les llegó un paquete en la «oficina de correos», pero DHL no pudo entregarlo debido a que los detalles de entrega eran incorrectos.

El correo electrónico guía a las víctimas para que revisen los documentos de envío adjuntos para obtener instrucciones sobre la recepción de la entrega. Al descargar y abrir HTML, se obtiene una vista previa de una hoja de cálculo que parece documentos de envío, pero está cubierta por un cuadro de solicitud de autenticación que utiliza Adobe.

«El campo de correo electrónico en el cuadro de autenticación estaba precargado con el correo electrónico del trabajo de la víctima», dijeron los investigadores. «Los atacantes hacen que las víctimas piensen antes de actuar e ingresen la contraseña del correo electrónico del servicio en este cuadro, sin prestar demasiada atención a la marca Adobe».

Al igual que con el ataque de phishing de FedEx, ingresar los detalles incorrectos en esta página devuelve un mensaje de error pidiendo a la víctima que ingrese la información correcta.

«Dado que recibimos tantos correos electrónicos de proveedores de servicios, nuestro cerebro ha sido capacitado para realizar rápidamente las acciones requeridas. Es mucho más fácil decirlo que hacerlo, pero interactúe con estos correos electrónicos de una manera racional y metódica siempre que sea posible ”, dijo Preet Kumar, exitoso gerente de clientes de Armorblox.

Kumar continuó: «Someta el correo electrónico a una prueba de la vista que incluye una inspección del nombre del remitente, la dirección de correo electrónico del remitente, el idioma del correo electrónico y cualquier inconsistencia lógica del correo electrónico».

Rate this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio