Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Campaña de phishing que trata de obtener las credenciales del gestor de correo electrónico

Fecha de publicación 16/11/2023
Importancia
3 - Media
Recursos Afectados

Todo aquel empresario, empleado o autónomo que use su gestor de correo electrónico mediante servicios de Webmail, tipo Zimbra o similares, y haya recibido una comunicación solicitando credenciales de acceso o datos personales.

Descripción

Se han detectado correos electrónicos fraudulentos, catalogados como phishing, con la finalidad de sustraer las credenciales de acceso (nombre de usuario y contraseña) de los gestores de correo electrónico de los usuarios con dominio privado.

Solución

En el caso de recibir en la bandeja de entrada un mensaje que presente las características mencionadas en este aviso, lo más aconsejable es eliminarlo inmediatamente, alertar al administrador del servicio y al resto de compañeros sobre este intento de robo de credenciales para prevenir más víctimas y, a ser posible, reportarlo.

En caso de haber proporcionado tus datos de acceso, es crucial cambiar estas credenciales cuanto antes y, si es posible, activar la verificación en dos pasos. Asimismo, estas credenciales deberían modificarse en cualquier otro servicio que las emplee.

Ten en cuenta que el phishing es uno de los métodos de fraude más comunes y extendidos en Internet. Surgen constantemente nuevas variantes que consiguen capturar las credenciales de los usuarios.

Detalle

En las campañas detectadas, de forma general, la redacción de los correos no es correcta gramaticalmente y, además, contienen errores ortográficos.

Existen diferentes variantes del fraude con el mismo objetivo, robar las credenciales de la víctima.

Variante 1:

Como se puede apreciar en el mensaje el correo, en esta primera modalidad se notifica al usuario que su contraseña de correo electrónico va a caducar próximamente. 
Para poder actualizarla se facilita un supuesto enlace que redirecciona a una página maliciosa.

 

Correo Fraude

 

Otro caso de esta variante es en la que el atacante suplanta al cliente de correo Zimbra, notificando al usuario que el almacenamiento ha llegado al límite. Para solucionar el problema se facilita un supuesto enlace redirige al sitio malicioso. 

 

Correo fraudulento

 

En otro caso similar se notifica a la víctima que la cuenta se va a cerrar y se solicita actualizarla através del un enlace fraudulento.

 

Evidencia de correo fraude

 

Las páginas ilegítimas a las que redirigen los enlaces tratarán de obtener las credenciales de los usuarios.
 

Web frudulenta

 

web suplanta login oficial

Se recomienda prestar especial atención, ya que, como podemos observar, pese a que se trata de páginas fraudulentas, todas ellas cuentan con certificado HTTPS (candado verde) de seguridad, lo que haría indicar al usuario que la página es legítima y la información va cifrada.

 

Correo electrónico fraudulento

 

Variante 2:

En esta otra variante se solicita a la víctima que facilite en un email de respuesta la contraseña del correo electrónico y el número de teléfono, ya que de lo contrario, se interrumpiría el uso del servicio.

 

Evidencias de correo electrónico frudulento



Esta variante de phishing sin enlace malicioso se ha replicado con Zimbra.

 

 

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).