Home Sociedad Phishers usan alertas falsas de VPN para robar las contraseñas de Office...

Phishers usan alertas falsas de VPN para robar las contraseñas de Office 365

Con los empleados que trabajan desde casa y que dependen de las VPNs y otras herramientas de conexión remota para ayudarles a acceder a las redes y datos de la empresa, los estafadores están utilizando ahora correos electrónicos de phishing, especialmente elaborados, que parecen proceder del departamento de TI y que solicitan que se actualicen inmediatamente las configuraciones de acceso remoto, según un nuevo informe de Annormal Security.

El objetivo de estos correos electrónicos de phishing es engañar a los empleados para que renuncien a sus credenciales de Office 365 introduciendo nombres de usuario y contraseñas en dominios maliciosos que falsifican las páginas de inicio de sesión. Hasta ahora, esta campaña ha apuntado a entre 5.000 y 15.000 buzones de correo electrónico de empleados.

La campaña de phishing, utiliza direcciones de correo electrónico que simulan el dominio de la organización en la que se desempeña el trabajador a distancia.

Estos correos electrónicos de phishing contienen un enlace que dice ser una alerta de “nueva configuración de VPN de acceso a casa”. Sin embargo, en lugar de la página de configuración de la VPN, el enlace dirige a la víctima a un sitio falso de Office 365, donde se insta al usuario a iniciar sesión con su correo electrónico y contraseña, según el informe.

La página de aterrizaje falsa se ve casi idéntica a la página de inicio de sesión estándar de Microsoft Office 365, incluyendo el uso de los logotipos e ilustraciones de la compañía. Además, el dominio malicioso alojado en una plataforma legítima de Microsoft .NET, que da a la página web un certificado válido que puede ayudar a engañar a las herramientas de seguridad, explica el informe.

La campaña oculta la URL de la página de phishing y utiliza en su lugar un texto de anclaje que contiene el nombre de la empresa en la que trabaja la víctima prevista, según Annormal Security.

Los investigadores dicen que aunque encontraron numerosas variaciones de estos correos electrónicos de phishing que se originaron en direcciones IP separadas, el enlace de carga utilizado fue el mismo para todos los ataques. Esto indica que los correos electrónicos de phishing fueron enviados por un solo atacante que controlaba el dominio de phishing.

Con información de: RedesZone.