La firma de seguridad y antivirus Sophos ha descubierto dos nuevas campañas de estafas por phishing que están ahora mismo operativas y utilizan un nuevo truco para evitar ser detectadas por las medidas de seguridad de Gmail y otros clientes de correo.
Las estafas phishing suelen emplear un proceso en tres etapas para que las víctimas les entreguen su identificación. Generalmente comienza con un email que invita a pulsar sobre un URL. Al abrir este hipervínculo, las víctimas llegan a una página de login falsa en la que los cibercriminales recogen las credenciales para adueñarse de esas cuentas.
Estas dos nuevas campañas también utiliza la misma estructura de tres etapas, pero con una modificación para evitar ser detectados por programas de seguridad: no incluyen links para pulsar.
- Por fin, Tesla arregla un vergonzoso fallo de seguridad
- Una vulnerabilidad con un popular gestor de claves podría poner en riesgo tu seguridad
- iOS tiene un problema de seguridad por sistema: el clipboard
En vez ofrecer un link que conduce a una página web clonada del original para realizar la estafa, estos emails incluyen la página web clonada como HTML en el miso mail.
Un truco psicológico
Al incluir la página clonada en el mismo documento, los cibercriminales incrementan la posibilidad de que la víctima pique e introduzca sus datos de login personales. El HTML no es percibido como una amenaza: no incluye ni macros ni ningún ejecutable que un programa de seguridad pueda detectar.
En teoría, abrir un documento adjunto HTML sólo abre ese documento en tu navegador, algo que no tiene peligro porque el navegador está aislado del resto del entorno. Sin embargo, al ser un documento HTML, lo usuarios no pueden ver el dominio con antelación. El URL aparece como un documento local tipo file: en vez de http. De esa forma, el cibercriminal puede hacer creer a alguien que no tenga mucho cuidado que está conectado a un sitio web real de un banco o un proveedor de correo como Gmail.
Según Sophos, "hay razones para no abrir documentos adjuntos HTML, notablemente relacionados con JavaScript. Por razones de seguridad, los programas de correo eliminan automáticamente cualquier código script incluido dentro de un correo HTML, una precaución añadida después de varias olas de ataques como la del virus Kakworm. El código de Kakworm se activaba automáticamente y el virus se reproducía en el mismo momento en que se visualizaba el mail, sin tener que esperar a pulsar en ningún botón. Pero cuando abres un documento adjunto HTML, el control estricto de tu lector de correo desaparece y cualquier JavaScript dentro del HTML se ejecutará en tu navegador web".
Para evitar cualquier ataque, Sophos recomienda que nunca pinches en un documento adjunto HTM o HTML, que nunca hagas login en una página que te haya llegado or correo y que actives la autenticación de dos factores en todos tus cuentas.
En otras palabras: que no te fíes ni de tu madre.
