El phishing se hace más selectivo durante la crisis de la COVID-19

El análisis de Kaspersky sobre spam y phishing del segundo trimestre de 2020 sigue situando a España (8,38% del total de ataques) como el principal país receptor de correos electrónicos peligrosos (con archivos adjuntos maliciosos o enlaces a sitios de phishing). También se ha detectado una serie de nuevos trucos de phishing, desde correos electrónicos de despido enviados en nombre del departamento de RR.HH. hasta ataques disfrazados de notificaciones de entrega.

El phishing es uno de los tipos de ataques de ingeniería social más antiguos y flexibles. Se utiliza de muchas maneras y con diferentes propósitos para atraer a los usuarios incautos a un sitio y engañarlos para que introduzcan su información personal. Esta última suele incluir credenciales financieras, tales como contraseñas de cuentas bancarias o detalles de tarjetas de pago, así como detalles de inicio de sesión de los perfiles en redes sociales. Toda esta información en las manos equivocadas abre las puertas a diversas operaciones maliciosas, como el robo de dinero, y pone en riesgo las redes corporativas, haciendo del phishing un método inicial de infección muy popular.

El phishing es un método de ataque eficaz porque se realiza a gran escala. Al enviar oleadas masivas de correos electrónicos en nombre de instituciones legítimas o al promover páginas falsas, los cibercriminales aumentan sus posibilidades de éxito en la búsqueda de credenciales. En los primeros seis meses de 2020, sin embargo, ha salido a luz un nuevo aspecto de esta forma de ataque.

Ataques dirigidos: las pequeñas empresas en el punto de mira

Tal y como ha puesto de manifiesto el análisis de Kaspersky, en el segundo trimestre de 2020, los phishers realizaron cada vez más ataques dirigidos, centrándose principalmente en las pequeñas empresas. Para atraer la atención, los estafadores falsificaron correos electrónicos y sitios web de organizaciones cuyos productos o servicios podían ser adquiridos por las potenciales víctimas. En el proceso de fabricación de estos activos falsos, los estafadores a menudo ni siquiera trataron de hacer que el sitio pareciera auténtico. Esos ataques de phishing dirigidos pueden tener graves consecuencias. Una vez que un estafador ha obtenido acceso al buzón de un empleado, puede utilizarlo para llevar a cabo otros ataques contra la empresa para la que trabaja el empleado, el resto de su personal o incluso contra sus proveedores.

Nuevos trucos para viejos objetivos

La pandemia de COVID-19 ha aportado un buen número de “excusas” a los estafadores para solicitar información personal. Entre ellas se cuenta el hecho de disfrazar sus mensajes como:

• Servicios de entrega. En el punto álgido de la pandemia, las organizaciones responsables de la entrega de cartas y paquetes tenían prisa por notificar a los destinatarios de posibles retrasos. Los estafadores comenzaron a aprovechar este tipo de correos electrónicos, falsificándolos y pidiendo a las víctimas que abrieran un archivo adjunto para acceder a la dirección de un almacén donde poder recoger un envío que no había sido entregado.
• Servicios postales. Otro movimiento relativamente original utilizado por los estafadores fue un mensaje que contenía una pequeña imagen de un recibo postal. Los estafadores esperaban que el destinatario aceptara el archivo adjunto (que, aunque contenía ‘JPG’ en el nombre, era un archivo ejecutable) y decidiera abrirlo. En este tipo de correos los investigadores de Kaspersky encontraron el spyware conocido como “Noon”.
• Servicios financieros. Los ataques de phishing bancarios registrados en el segundo trimestre utilizaron a menudo mensajes de correo electrónicos con los que ofrecían diversos beneficios y bonificaciones a los clientes de las instituciones financieras como respuesta a la pandemia. Los correos electrónicos contenían un archivo con instrucciones o enlaces para obtener más detalles. Como resultado, y según el tipo de ataque, los estafadores podían acceder a los equipos de los usuarios, a sus datos personales o a los datos de autenticación de diversos servicios online.
• Servicios de recursos humanos. El debilitamiento de la economía durante la pandemia en varios países ha provocado una ola de desempleo, y los ciberdelincuentes no perdieron esta oportunidad para atacar. Los expertos de Kaspersky se encontraron con varios correos que anunciaban, por ejemplo, modificaciones relativas a la baja por razones médicas, o sorprendieron al destinatario comunicándole su despido. En algunos adjuntos de estos mensajes había un archivo Trojan-Downloader.MSOffice.SLoad.gen, un troyano que se utiliza sobre todo para descargar e instalar programas encriptadores.

“Al analizar los resultados del primer trimestre, asumimos que la COVID-19 sería el tema principal de los spammers y phishers, como ciertamente sucedió. A la vez que enviaban sus tradicionales mensajes de spam sin mencionar la pandemia, los phishers adaptaron sus viejos esquemas para hacerlos relevantes según la agenda de noticias actual, así como para inventar nuevos trucos”, comenta Tatyana Sidorina, experta en seguridad de Kaspersky. Lea más sobre las nuevas técnicas de phishing en Securelist.

Los expertos de Kaspersky aconsejan a los usuarios que tomen las siguientes medidas para protegerse del phishing:

• Compruebe siempre las direcciones online de los mensajes desconocidos o inesperados, ya sea la dirección web del sitio al que se dirige, la dirección del enlace de un mensaje e incluso la dirección de correo electrónico del remitente, para asegurarse de que sean auténticas y de que el enlace del mensaje no oculte otro hipervínculo.
• Si no está seguro de que el sitio web sea genuino y seguro, no introduzca sus credenciales. Si cree que ha introducido su nombre de usuario y contraseña en una página falsa, cambie inmediatamente su contraseña y llame a su banco o proveedor de pagos si cree que los datos de su tarjeta han sido comprometidos.
• Utilice una solución de seguridad que incorpore tecnologías antiphishing basadas en el comportamiento, como Kaspersky Security Cloud o Kaspersky Total Security, que le avisarán si está intentando acceder a una página web de phishing.