Campaña de phishing que trata de obtener las credenciales del gestor de correo electrónico
Todo aquel empresario, empleado o autónomo que use su gestor de correo electrónico mediante servicios de Webmail, tipo Zimbra o similares, y haya recibido una comunicación solicitando credenciales de acceso o datos personales.
Se han detectado correos electrónicos fraudulentos, catalogados como phishing, con la finalidad de sustraer las credenciales de acceso (nombre de usuario y contraseña) de los gestores de correo electrónico de los usuarios con dominio privado.
En el caso de recibir en la bandeja de entrada un mensaje que presente las características mencionadas en este aviso, lo más aconsejable es eliminarlo inmediatamente, alertar al administrador del servicio y al resto de compañeros sobre este intento de robo de credenciales para prevenir más víctimas y, a ser posible, reportarlo.
En caso de haber proporcionado tus datos de acceso, es crucial cambiar estas credenciales cuanto antes y, si es posible, activar la verificación en dos pasos. Asimismo, estas credenciales deberían modificarse en cualquier otro servicio que las emplee.
Ten en cuenta que el phishing es uno de los métodos de fraude más comunes y extendidos en Internet. Surgen constantemente nuevas variantes que consiguen capturar las credenciales de los usuarios.
En las campañas detectadas, de forma general, la redacción de los correos no es correcta gramaticalmente y, además, contienen errores ortográficos.
Existen diferentes variantes del fraude con el mismo objetivo, robar las credenciales de la víctima.
Variante 1:
Como se puede apreciar en el mensaje el correo, en esta primera modalidad se notifica al usuario que su contraseña de correo electrónico va a caducar próximamente.
Para poder actualizarla se facilita un supuesto enlace que redirecciona a una página maliciosa.
Otro caso de esta variante es en la que el atacante suplanta al cliente de correo Zimbra, notificando al usuario que el almacenamiento ha llegado al límite. Para solucionar el problema se facilita un supuesto enlace redirige al sitio malicioso.
En otro caso similar se notifica a la víctima que la cuenta se va a cerrar y se solicita actualizarla através del un enlace fraudulento.
Las páginas ilegítimas a las que redirigen los enlaces tratarán de obtener las credenciales de los usuarios.
Se recomienda prestar especial atención, ya que, como podemos observar, pese a que se trata de páginas fraudulentas, todas ellas cuentan con certificado HTTPS (candado verde) de seguridad, lo que haría indicar al usuario que la página es legítima y la información va cifrada.
Variante 2:
En esta otra variante se solicita a la víctima que facilite en un email de respuesta la contraseña del correo electrónico y el número de teléfono, ya que de lo contrario, se interrumpiría el uso del servicio.
Esta variante de phishing sin enlace malicioso se ha replicado con Zimbra.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).