Un aspecto frustrante del phishing por correo electrónico es la frecuencia con la que los estafadores recurren a métodos probados y verdaderos que realmente no funcionan en estos días. Como adjuntar un correo electrónico de phishing a un mensaje de correo electrónico tradicional y limpio, o aprovechar los redireccionamientos de enlaces en Etiqueta LinkedIn, o abusar de un método de codificación que hace que sea fácil disfrazar trampas explosivas Microsoft Windows archivos como documentos relativamente inofensivos.
KrebsOnSecurity escuchó recientemente a un lector que estaba desconcertado por un correo electrónico que acababa de recibir que decía que necesitaba revisar y completar un formulario de impuestos W-9 suministrado. Se hizo que la misiva pareciera como si fuera parte de un informe de entrega de buzón de Microsoft 365 sobre los mensajes que no se han podido entregar.
El lector, que pidió permanecer en el anonimato, dijo que el mensaje de phishing contenía un archivo adjunto que parecía tener una extensión de archivo de ".pdf", pero algo parecía estar mal. Por ejemplo, cuando descargó e intentó cambiar el nombre del archivo, la tecla de flecha hacia la derecha en el teclado movió el cursor hacia la izquierda y viceversa.
El archivo incluido en esta estafa de phishing utiliza lo que se conoce como "anulación de derecha a izquierda" o carácter RLO. RLO es un carácter especial dentro de Unicode, un sistema de codificación que permite que las computadoras intercambien información independientemente del idioma utilizado, que admite idiomas escritos de derecha a izquierda, como el árabe y el hebreo.
Mire cuidadosamente la captura de pantalla a continuación y notará que mientras Microsoft Windows dice que el archivo adjunto al mensaje de phishing se llama "lme.pdf", el nombre completo del archivo es "fdp.eml" escrito al revés. En esencia, se trata de un archivo .eml, un formato de correo electrónico o correo electrónico guardado en texto sin formato, que se hace pasar por un archivo .PDF.
“El correo electrónico llegó a través de Microsoft Office 365 con todas las detecciones activadas y no fue detectado”, continuó el lector. “Cuando el mismo correo electrónico se envía a través de Mimecast, Mimecast es lo suficientemente inteligente como para detectar la codificación y cambia el nombre del archivo adjunto a '___fdp.eml'. Uno pensaría que Microsoft ya habría tenido mucho tiempo para abordar esto”.
De hecho, KrebsOnSecurity cubrió por primera vez los ataques de phishing basados en RLO de nuevo en 2011, e incluso entonces no era un truco nuevo.
Al abrir el archivo .eml, se genera una representación de una página web que imita una alerta de Microsoft sobre mensajes rebeldes que esperan ser restaurados en su bandeja de entrada. Al hacer clic en el enlace "Restaurar mensajes", lo rebota a través de una redirección abierta en Etiqueta LinkedIn antes de reenviar a la página web de phishing.
As anotado aquí el año pasado, los estafadores se han aprovechado durante mucho tiempo de una función de marketing en el sitio de redes comerciales que les permite crear un enlace LinkedIn.com que rebota su navegador a otros sitios web, como páginas de phishing que imitan a las principales marcas en línea (pero principalmente a la empresa matriz de Linkedin, Microsoft).
La página de inicio después de la redirección de LinkedIn muestra lo que parece ser una página de inicio de sesión de Office 365, que es, naturalmente, un sitio web de phishing creado para parecerse a una propiedad oficial de Microsoft Office.
En resumen, esta estafa de phishing utiliza un antiguo truco de RLO para engañar a Microsoft Windows haciéndoles creer que el archivo adjunto es otra cosa y, cuando se hace clic en el enlace, se abre una redirección en un sitio web propiedad de Microsoft (LinkedIn) para enviar a las personas a una página de phishing que suplanta a Microsoft e intenta robar las credenciales de correo electrónico de los clientes.
Según las últimas cifras de Check Point Software, Microsoft fue con mucho, la marca más suplantada para estafas de phishing en el segundo trimestre de 2023, representando casi el 30 por ciento de todos los intentos de phishing de marca.
Es muy probable que un mensaje no solicitado que llegue con uno de estos archivos .eml como adjunto sea un señuelo de phishing. El mejor consejo para eludir las estafas de phishing es evitar hacer clic en enlaces que llegan de forma espontánea en correos electrónicos, mensajes de texto y otros medios. La mayoría de las estafas de phishing invocan un elemento temporal que advierte de las graves consecuencias si no responde o no actúa rápidamente.
Si no está seguro de si un mensaje es legítimo, respire hondo y visite el sitio o servicio en cuestión de forma manual; idealmente, use un marcador del navegador para evitar posibles sitios de typosquatting.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://krebsonsecurity.com/2023/08/teach-a-man-to-phish-and-hes-set-for-life/
