Campaña de phishing: despidos por Zoom.

by Franco Alejandro Trinidadin Articulos CSIRTon Posted on

Debido a la nueva mecánica de trabajo remoto que se ha implementado durante los últimos meses en respuesta a COVID-19, las videoconferencias se han vuelto herramientas de uso cotidiano. Ha habido una amplia difusión de servicios como Zoom, Skype, Google Meet y Jitsi Meet, que han ayudado a establecer una nueva dinámica de comunicación entre empelados y empresas.

Campaña

En medio de este nuevo de paradigma, el equipo de Abnormal Security ha detectado una campaña de phishing que se aprovecha de la creciente dependencia en esta tecnología. Más de 50.000 personas han recibido notificaciones de conferencias de Zoom falsas, amenazando con despidos o suspensión de contratos.

Muestra de correo de phishing. Crédito: Abnormal Security

Los correos imitan notificaciones legítimas, indicando que una reunión con el departamento de Recursos Humanos de su empresa está apunto de comenzar. Ante la preocupación, muchas personas abren el enlace malicioso y acceden al sitio de Zoom falso.

A diferencia del sitio original, el clon también incita a los usuarios a unirse a la videoconferencia mediante el correo institucional en lugar de la cuenta de Zoom. Como consecuencia, las credenciales de acceso al correo de la empresa son interceptadas por los atacantes.

Clon de Zoom para robo de credenciales. Crédito: Abnormal Security

Riesgos

Debido a que el sitio está diseñado para verse idéntico al original, muchos usuarios frecuentes de Zoom podrían asumir que su sesión ha expirado y deben ingresar nuevamente. La costumbre y la confianza pueden hacer que sea fácil caer en la trampa.

Al tener acceso a las cuentas de correo institucionales, los atacantes pueden continuar su campaña de phishing desde cuentas legítimas, acceder a información privada de la empresa, falsificar información que pueda perjudicar sus operaciones, etc.

Esta vez, la campaña tiene como objetivo el robo de credenciales. En otra ocasión, los atacantes podrían propagar malware utilizando la misma mecánica. Tener acceso a los dispositivos sería aún más útil y perjudicial que a las cuentas.

Precauciones

Para no ser víctima de este tipo de ataques se pueden tomar las siguientes medidas:

  • NUNCA HACER CLICK EN UN ENLACE RECIBIDO POR CORREO ELECTRÓNICO (antes de verificar la procedencia).
  • NUNCA ABRIR UN ARCHIVO ADJUNTO RECIBIDO POR CORREO ELECTRÓNICO (antes de verificar la procedencia).
  • Verificar la legitimidad del correo utilizando canales alternativos. Por ejemplo: comunicarse por Signal, Telegram o WhatsApp con su empleador para verificar que la reunión es real.
  • Copiar a mano el enlace de la reunión (o por lo menos, el dominio), para asegurarse de que están accediendo al sitio real.
  • Los atacantes buscan evocar reacciones emocionales para que las víctimas tomen acciones impulsivas. Cuando llega un correo nuevo, siempre conviene tomar un momento para analizar si el tono del mensaje se corresponde con la personalidad del supuesto remitente.

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *