Kaspersky ha identificado una estafa de phishing multifase dirigida a empleados que manejan documentos financieros. El fraude se inicia cuando las víctimas reciben un correo electrónico desde una dirección legítima de una empresa de auditoría, lo que reduce su desconfianza. Este correo inicial es un preludio para la actividad fraudulenta principal.
Posteriormente, las víctimas reciben una notificación del servicio Dropbox, que contiene enlaces maliciosos a archivos subidos por los ciberdelincuentes con el fin de robar credenciales. El ataque comienza con un correo electrónico que parece provenir de una empresa de auditoría auténtica, cuyo dominio probablemente ha sido comprometido. Este correo utiliza técnicas de ingeniería social para reducir la sospecha y prepara a la víctima para el siguiente paso: recibir un archivo de Dropbox.
“El correo electrónico parece confiable tanto para las personas como para el software de protección. Presenta una historia convincente, afirmando que una empresa auditora tiene información relevante para el destinatario, junto con una cláusula de exención de responsabilidad sobre el intercambio de información confidencial. No contiene enlaces ni archivos adjuntos y proviene de una dirección de empresa fácilmente verificable, lo que dificulta su detección por los filtros de spam”, explica Roman Dedenok, experto en seguridad de Kaspersky.
Los ciberdelincuentes utilizan Dropbox para robar credenciales al personal financiero
Cómo es el phishing en Dropbox
El único indicio sospechoso es la mención del servicio “Dropbox Application Secured Upload”, que en realidad no existe. Aunque los archivos en Dropbox pueden protegerse con contraseña, esta característica es usada engañosamente.
Tras este correo inicial, las víctimas reciben una notificación oficial de Dropbox. Influenciadas por el primer mensaje, es más probable que sigan el enlace proporcionado para revisar el documento.
Al hacer clic en el enlace, aparece un documento borroso con una ventana de autenticación superpuesta. Todo el documento actúa como un enlace malicioso, dirigiendo a un formulario que solicita el nombre de usuario y la contraseña corporativa del usuario. Los ciberdelincuentes buscan obtener estas credenciales mediante este elaborado esquema de varios pasos.
Recomendaciones de seguridad
Estos ataques se consideran dirigidos y fueron observados por Kaspersky en casos aislados. Para mantenerse protegido, es aconsejable advertir a los empleados y fomentar la vigilancia. Otros consejos útiles incluyen:
- Proporcionar al personal formación básica sobre higiene en ciberseguridad. Se puede realizar un ataque de phishing simulado para asegurarse de que los empleados saben distinguir los correos electrónicos de phishing
- En general, todos los empleados de la empresa deben recordar que deben introducir su contraseña de trabajo solo en las webs propiedad de su organización. Ni Dropbox ni los auditores externos pueden conocer ni necesitar su contraseña de trabajo
- Dado que los delincuentes idean constantemente esquemas más sofisticados para robar datos de cuentas corporativas, es recomendable implementar soluciones de protección en tiempo real, visibilidad de amenazas, investigación y respuesta, como la línea de productos Kaspersky Next