La compañía de ciberseguridad ESET está muy acostumbrada a analizar correos electrónicos maliciosos y ha advertido que últimamente está circulando una campaña de phishing que llamó la atención de sus investigadores por el asunto que utiliza para que sus usuarios piquen el anzuelo.
Según ha señalado Josep Albors, director de Investigación y Concienciación de ESET España, utiliza como gancho una supuesta carta de renuncia y, además, no incluye un fichero adjunto sino un supuesto enlace al servicio Dropbox "que puede hacer bajar la guardia a más de uno, ya que puede pensar que se trata de un documento grande que no ha podido ser adjuntado al correo, pensar que se trata de un enlace inofensivo y acceder a él".
En caso de que el usuario pulse sobre él, explica que será redirigido a una página web que suplanta la identidad de Dropbox y en la que se le instará a introducir sus credenciales para acceder al archivo compartido. "En este punto, es posible que muchos usuarios tengan dudas acerca de qué credenciales introducir, pero puesto que han recibido este aviso por email, no sería de extrañar que introdujesen el usuario y contraseña de su cuenta de correo corporativa".
El dominio utilizado y sus vínculos con Finlandia, Moscú y Estambul
Siguiendo la información de Albors, la página web fraudulenta que se hace pasar por Dropbox dispone de un certificado válido, por lo que cuenta con el candado de seguridad y con una conexión segura HTTPS. No obstante, apunta que eso no significa que la web sea segura, sino que la conexión con esta página se encuentra cifrada.
"Los delincuentes saben que mucha gente sigue confiando ciegamente en aquellas webs que cuenten con un certificado válido de seguridad y por eso llevan años usándolos en webs maliciosas gracias a que pueden obtenerlos de forma gratuita mediante servicios como 'Let’s encrypt'. Este es el caso de esta web que suplanta la identidad de Dropbox, ya que el dominio 'Dropbox[.]com[.]ng' no es oficial y, además, el certificado se obtuvo hace tan solo dos semanas".
Durante su investigación, ESET también ha podido constatar que el dominio se registró un día antes de obtener el certificado, con la persona encargada de hacerlo supuestamente residiendo en Finlandia y la ubicación de la IP donde se aloja la web presuntamente localizada en Moscú.
Sin embargo, Albors explica que no todos los servicios que habitualmente se utilizan para revisar la ubicación de una IP apuntan a la misma dirección y que, en este caso, han observado que algunos apuntan a que la web está alojada en un servidor de Estambul.
"Independientemente de esto, en esa misma IP también hemos detectado dominios de reciente creación suplantando la identidad del proveedor de hosting y correo alemán Ionos. Esto podría indicar otra campaña en curso o la preparación de una campaña similar para los próximos días, por lo que sería recomendable estar alerta, especialmente si somos clientes de esta empresa", termina advirtiendo el director de Investigación y Concienciación de ESET España.