Los expertos de Kaspersky Lab descubrieron recientemente una campaña de phishing en la que los ciberdelincuentes intentan imitar el proceso de evaluación del rendimiento de la empresa objetivo. Es un doble ataque porque los beneficiarios creen que la evaluación es obligatoria y, al mismo tiempo, puede conducir a un aumento de salario. Cabe señalar que en algunas empresas estas evaluaciones forman parte integrante del proceso de revisión salarial, razón por la cual no suscitan ninguna sospecha.
Como de costumbre, todo comienza con un correo electrónico. Un empleado recibe un mensaje que parece provenir de Recursos Humanos donde se recomienda llevar a cabo la evaluación del rendimiento. El texto del mensaje contiene un enlace a un sitio con un «formulario de evaluación» que debe rellenarse.
De acuerdo con las instrucciones, el usuario debe hacer clic en el enlace, iniciar sesión, esperar un correo electrónico con más detalles y seleccionar una de las tres opciones. Para cualquier persona nueva en la compañía y su proceso de evaluación, estos pasos pueden parecer convincentes. Sólo la dirección del sitio (que no tiene nada que ver con los recursos de la empresa) podría dar lugar a sospechas.
Si el empleado abre el enlace, verá la página para acceder al Portal de Recursos Humanos. A diferencia de muchos recursos de phishing diseñados para que parezcan páginas de inicio de sesión para servicios empresariales, esta página tiene un aspecto bastante rudimentario, con un fondo monocromo brillante o degradado y campos de entrada de datos que cubren la página. Por razones de autenticidad, los estafadores invitan al usuario a aceptar la política de privacidad (sin proporcionarle un enlace a dichos documentos).
Se pide a la víctima que introduzca su nombre de usuario, contraseña y dirección de correo electrónico. En algunos casos, los estafadores le piden que ingrese la dirección de su trabajo. Al hacer clic en el botón Login o Rating, el empleado entrega sus datos a los ciberdelincuentes.
En este punto, es probable que la «evaluación» termine abruptamente. El empleado esperará (en vano) a que llegue el correo electrónico prometido con más detalles. En el mejor de los casos, puede sospechar que algo anda mal y enviar un recordatorio al departamento de personal, que lo notificará a los técnicos de seguridad de TI. De lo contrario, la empresa puede tardar meses en detectar el robo de identidad.
Todo depende, por supuesto, de las tecnologías que utilice la empresa en cuestión. Una vez obtenidas las credenciales de un empleado, el cibercriminal podría, por ejemplo, enviar correos electrónicos de phishing a otros empleados, socios o clientes de la empresa como si fueran la víctima.
El ciberdelincuente también puede tener acceso a mensajes o documentos confidenciales, lo que aumenta las posibilidades de éxito del ataque: los mensajes que parecen proceder de la víctima no sólo sirven para eludir los filtros de spam, sino que también producen una falsa sensación de seguridad. Más tarde, la información robada también podría utilizarse para diferentes tipos de ataques dirigidos contra la misma empresa, como los ataques BEC (Business E-mail Compromise). Además, los documentos internos y los mensajes de los empleados también pueden utilizarse para otros fines, como el chantaje o la venta de los mismos a los competidores.
Estos ataques explotan principalmente el factor humano. Por esta razón, es esencial que los empleados estén familiarizados con los procedimientos y procesos de seguridad de TI de la empresa. Kaspersky Lab recomienda:
Recuerde regularmente a los empleados que deben tratar los enlaces en los correos electrónicos con precaución y sólo abrirlos cuando estén seguros de su autenticidad.
Recordar al personal que no debe introducir los detalles de la cuenta de la empresa en ningún sitio externo.
Intercepte los correos electrónicos de phishing antes de que lleguen a la bandeja de entrada de sus empleados. Para ello, instale una solución de seguridad a nivel de servidor de correo.
Redacción Cambio Digital On Line
