Suplantando la evaluación de rendimiento, otra estrategia de phishing

Foto: Kaspersky

Expertos en ciberseguridad han develado una estrategia de phishing (suplantación de identidad) que intenta imitar el proceso de la evaluación de rendimiento de una empresa objetivo.

De esta manera, el ataque se considera como doble, ya que los receptores piensan que la valoración es obligatoria y que puede generar un aumento de sueldo.

En Kaspersky, compañía de ciberseguridad, se cree que estas evaluaciones forman parte de la rutina del proceso de revisión salarial en algunas empresas, por lo que eventualmente no despiertan sospechas.

Así, los ciberdelincuentes siguen ideando nuevas estratagemas o artimañas para atraer a los empleados a sitios de phishing, con el objetivo de obtener las credenciales de las cuentas empresariales.

Los expertos de la compañía han recordado que las campañas de spam utilizaban anteriormente las invitaciones en SharePoint y los mensajes de voz como cebo, pero ahora han conocido este nuevo truco que pone en riesgo la ciberseguridad empresarial.

“Como de costumbre, todo comienza con un correo electrónico. Un empleado recibe un mensaje supuestamente de Recursos Humanos que incita a realizar una evaluación de rendimiento. El texto del mensaje contiene un enlace a un sitio web con un ‘formulario de evaluación’ que debe rellenar el empleado”.

El usuario, según las instrucciones, debe seguir el enlace, iniciar sesión, esperar un mensaje de correo electrónico con información adicional y seleccionar una de las tres opciones.

Esta situación puede parecer convincente para cualquier persona nueva en la empresa que desconoce el procedimiento de evaluación, pero solamente la dirección del sitio podría levantar sospechas porque no guarda relación alguna con los recursos corporativos.

Cayendo en ataques de phishing

En caso de que el empleado llegue a abrir el enlace, inmediatamente verá la página de inicio de sesión del supuesto portal de Recursos Humanos.

Los investigadores han observado que la apariencia de estas páginas de inicio de sesión de falsos servicios empresariales parece absolutamente rudimentaria, a diferencia de muchos recursos de phishing diseñados para reproducirlas.

Se trata de un fondo brillante monocromo o un fondo degradado y con campos de ingreso de datos que abarcan casi todo la página.

Los estafadores, incluso, invitan al usuario a aceptar la política de privacidad para conceder autenticidad sin siquiera proporcionar un enlace a dicho documento.

“Se le pide a la víctima que ingrese su nombre de usuario, contraseña y dirección de correo electrónico. En algunos casos, los estafadores solicitan también la dirección del trabajo. Y al hacer clic en el botón de ‘iniciar sesión’ o ‘comenzar evaluación’, en realidad el empleado está enviando los datos a los ciberdelincuentes”.

Se hace muy probable que la pseuda evaluación de rendimiento termine de inmediato en este punto y que el empleado se quede esperando el prometido mensaje de correo electrónico o más información.

Los expertos han afirmado que la víctima de phishing, en el mejor de los casos, puede que sospeche que algo no está bien y que proceda a enviar un recordatorio al departamento de Recursos Humanos para que, a su vez, notifiquen al área de seguridad informática. La empresa, de no ser así, podría detectar el robo de identidad meses después.

En todo caso, el peligro del secuestro de las cuentas corporativas a través de la falsa evaluación de rendimiento es inminente.

De detectarse a tiempo, todo dependería del tipo de tecnologías de ciberseguridad que emplee la empresa objetivo para neutralizar la amenaza.

Lo que también es cierto es que el ciberdelincuente puede ejecutar actos maliciosos al obtener las credenciales de un empleado, por ejemplo, podría enviar mensajes de correo electrónico a nombre de la víctima, dirigidos contra otros empleados, socios y clientes de la empresa.

“El atacante también podría ganar acceso a la correspondencia o a los documentos confidenciales internos, lo que incrementa las posibilidades de un ataque exitoso: es probable que los mensajes que parecen provenir de la víctima no solamente evadan los filtros de spam, sino que también pueden generar en los destinatarios una falsa sensación de seguridad”.

Además, desde Kaspersky se ha resaltado que la información robada podría utilizarse para lanzar varios tipos de ataques dirigidos a nombre de la propia empresa, lo que incluye la vulneración de los correos electrónicos corporativos (BEC, por sus siglas en inglés).

Los documentos internos y los mensajes de los empleados también pueden usarse para otras cosas, por ejemplo, realizar chantajes o venderlos a la competencia.

Acciones de defensa contra phishing

Estos ataques que suponen la evaluación de rendimiento explotan sobre todo el factor humano. Es por eso que se considera crucial asegurarse de que los empleados estén familiarizados con los procedimientos y los procesos de ciberseguridad de la empresa.

“Envía recordatorios periódicos a tus empleados para que recelen de los enlaces en los mensajes de correo electrónico y para que los abran solamente si están seguros de su autenticidad”.

Igualmente se recomienda alertar al personal para no introducir información de sus cuentas corporativas en sitios web externos y así evitar un posible ataque de este tipo.

Otro consejo es interceptar los mensajes de correo electrónico de phishing antes de que lleguen a la bandeja de entrada, por lo que se necesita la instalación de una solución de seguridad a nivel del servidor de correo electrónico.

Por ejemplo, la compañía de ciberseguridad ofrece Kaspersky Security for Mail Server o Kaspersky Endpoint Security for Business Advanced que pueden ayudar con esta tarea.