Se trata de un fraude de «phishing» en fases múltiples en el que primero se ganan la confianza de la víctima
29 jul 2024 . Actualizado a las 05:00 h.Es uno de los servicios de alojamiento de archivos en la nube más conocida. El servicio de la estadounidense Dropbox es usado popularmente para almacenar material en línea y para compartir archivos y carpetas. Lo que muchos no saben es que los ciberdelincuentes han puesto el ojo en su comodidad.
La multinacional de seguridad Kaspersky ha detectado un fraude de phishing en fases múltiples dirigido a empleados que trabajan con documentación financiera.
Todo empieza con un correo electrónico que reciben las víctimas de la dirección legítima de una empresa de auditoría. Ese primer contacto hace que el usuario baje la guardia, como paso previo a la estafa. A continuación, llega una notificación del servicio Dropbox, que contiene enlaces maliciosos a archivos en los que los ciberdelincuentes han subido archivos de phishing diseñados para robar credenciales.
El parecido
Esos primeros correos que reciben las víctimas se envían desde una dirección auténtica, que muy probablemente ha sido hackeada por los atacantes. «El correo electrónico parece fiable tanto desde el punto de vista humano como desde el punto de vista del software de protección. Presenta una historia creíble en la que se afirma que una empresa auditora oficial tiene información para el destinatario, junto con una cláusula de exención de responsabilidad sobre el intercambio de información confidencial. Además, el correo electrónico no contiene enlaces ni archivos adjuntos y proviene de una dirección de empresa fácil de buscar, lo que lo hace casi imposible de detectar por un filtro de spam», dicen desde la compañía.
Después de este correo electrónico, los ciberdelincuentes envían a sus víctimas una notificación oficial de Dropbox. Si el destinatario tiene ya en mente la referencia del mensaje inicial, es más probable que siga el enlace para revisar el documento.
Al hacer clic en el enlace aparece un documento borroso con una ventana de autenticación superpuesta. El documento actúa como un gran botón, siendo toda su superficie un enlace malicioso. Al hacer clic, el usuario verá un formulario que solicita su nombre de usuario y contraseña corporativos: credenciales que los ciberdelincuentes pretenden robar.
Las empresas están recibiendo ya formación para evitar esta estafa. La recomendación pasa además porque los empleados de las compañías introduzcan sus contraseñas de trabajo solo en las webs propiedad de su organización. Ningún servicio externo debe conocer las contraseñas de trabajo.