Inicio / Protege tu empresa / Avisos Seguridad / Campaña de “spear phishing” suplantando al servicio web 1&1

Campaña de “spear phishing” suplantando al servicio web 1&1

Fecha de publicación: 
28/02/2018
Importancia: 
4 - Alta
Recursos afectados: 

Cualquier empresa cuya página web esté alojada en el servicio 1&1 y cuyo contacto administrativo se encuentre disponible en una consulta tipo “whois”, utilizadas para determinar quién es el propietario del dominio, entre otros datos.

Descripción: 

Se ha detectado una campaña de correos electrónicos fraudulentos dirigidos (spear phishing o phishing dirigido), que suplantan al servicio de dominios 1&1. El objetivo es llevar a la víctima a una página fraudulenta para hacerse con sus credenciales de acceso y datos bancarios.

Solución: 

Como en cualquier otro caso de phishing, debemos extremar las precauciones y avisar a los empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos.

Si algún empleado ha recibido un correo de estas características, ha hecho clic en el enlace y ha introducido las credenciales de acceso o datos bancarios (información de la tarjeta de crédito), deberá modificar lo antes posible su contraseña de acceso al servicio, así como contactar con la entidad bancaria para informarles de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que la utilice.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en Whatsapp o redes sociales, aunque sean de contactos conocidos.
  • Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegurese que las cuentas de usuario de sus empleados utilizan contraseñas robustas y sin permisos de Administrador.

Para prevenir y reforzar estos consejos, es importante realizar acciones de formación y concienciación en ciberseguridad entre los empleados.

Si necesita soporte o asistencia, y se ha visto afectado por este engaño, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

Detalle: 

Desde INCIBE se determina que presumiblemente se está haciendo uso del servicio “whois” con alguna herramienta automatizada o similar, para extraer las direcciones de correo electrónico públicas asociadas a los dominios de 1&1 y posiblemente otros proveedores para enviarles el correo fraudulento.

Imagen que muestra el correo electrónico fraudulento donde figura el enlace al falso servicio

Si el usuario accede al enlace del mensaje, le dirigirá a una página fraudulenta que suplanta el servicio 1&1:

Imagen que muestra la página web fraudulenta, donde resalta la dirección falsa y el cuadro donde introducir credenciales

Si nos fijamos en la url, podremos comprobar que la dirección no es la legítima de 1&1, a pesar de que aparezca en la misma el nombre de este proveedor. Adicionalmente, indicar que tampoco nos encontramos bajo protocolo seguro https, lo cual debería hacernos sospechar.

Imagen que muestra que no se está bajo protocolo seguro https y que indica que la web NO es segura

El fin de este phishing dirigido es hacerse tanto con la información de acceso al servicio como con los datos bancarios. Para que el engaño siga su curso, nos pide credenciales de acceso, Id de cliente y contraseña. Si accedemos e introducimos esta información, nos redirigirá a una página simulando ser una pasarela de pago:

Imagen que muestra la página fraudulenta que simula ser una pasarela de pago, donde resalta la dirección falsa y los cuadros donde se introducirán datos bancarios

En este momento, los ciberdelincuentes esperan que se introduzcan datos bancarios para hacerse con ellos. Como último paso, también han implementado una página para que se introduzca un código de verificación de sms.

 

Imagen que simula una web donde introducir el código de verificación de sms

 

Mejoramos contigo. Participa en nuestra encuesta

Referencias: