Los ciberdelincuentes parecen volverse cada vez más sofisticados con sus ataques, y las estafas de phishing no son diferentes. El equipo de McAfee Labs ha observado un nuevo campaña de phishing usando un mensaje de correo de voz falso para engañar a las víctimas para que renuncien a sus credenciales de correo electrónico de Office 365. Durante la investigación, el equipo encontró tres kits diferentes de phishing para explotar objetivos.
¿Cómo funciona exactamente esta estafa furtiva de phishing? Todo comienza cuando una víctima recibe un correo electrónico que indica que perdió una llamada telefónica, junto con una solicitud para iniciar sesión en su cuenta para acceder al mensaje de voz. El correo electrónico también contiene un archivo HTML adjunto que redirige a la víctima a un sitio website de phishing. Este sitio world wide web rellena previamente la dirección de correo electrónico de la víctima y le pide que ingrese sus credenciales de Business office 365. Además, el sigilo adjunto contiene una grabación de audio de alguien hablando, lo que hace que la víctima crea que está escuchando un correo de voz legítimo.
Una vez que la víctima ingresa su contraseña, se les presenta una página que indica que su inicio de sesión fue exitoso. Luego, se redirige a la víctima a la página de inicio de sesión de place of work.com, lo que le hace creer que todo es perfectamente normal. Poco saben que sus credenciales acaban de ser cosechadas por un cibercriminal.
Si bien este engañoso esquema se ha utilizado principalmente para atacar a las organizaciones, hay mucho que quitar de este incidente, ya que los cibercriminales a menudo se disfrazan de empresas para suplantar datos de usuarios. Para protegerse de estas estafas sigilosas, consulte los siguientes consejos:
- Ir directamente a la fuente. Sea escéptico con respecto a los correos electrónicos que afirman ser de empresas con preguntas o mensajes peculiares. En lugar de hacer clic en un enlace dentro del correo electrónico, es mejor ir directamente al sitio website de la empresa para verificar el estado de su cuenta o ponerse en contacto con el servicio al cliente.
- Tenga cuidado con los correos electrónicos que le piden que tome medidas. Si recibe un correo electrónico pidiéndole que realice una determinada acción o descargue software program, no haga clic en nada dentro del mensaje. En cambio, vaya directamente al sitio net de la organización. Esto evitará que descargues contenido malicioso de enlaces de phishing.
- Pase el mouse sobre los enlaces para ver y verificar la URL. Si alguien le envía un correo electrónico con un enlace, desplace el cursor sobre el enlace sin hacer clic en él. Esto le permitirá ver una vista previa del enlace. Si la URL parece sospechosa, no interactúe con ella y elimine el correo electrónico por completo.
Y, como siempre, para estar al tanto de las últimas amenazas de seguridad móvil y del consumidor, asegúrese de seguir @McAfee_Home en Twitter, escucha nuestro podcast Hackable? y «Me gusta» en nosotros Fb.
