El correo electrónico suele ser la primera opción para un ciberdelincuente a la hora de lanzarse porque es muy fácil de explotar. A diferencia de los ataques de fuerza bruta, que requieren una gran capacidad de procesamiento, o de los métodos más sofisticados que exigen un alto nivel de habilidad, la suplantación de dominios puede ser tan fácil como escribir un correo electrónico haciéndose pasar por otra persona. En muchos casos, ese "otro" es una importante plataforma de servicios de software en la que la gente confía para hacer su trabajo.

Eso es lo que ocurrió entre el 15 y el 30 de abril de 2020, cuando nuestros analistas de seguridad de PowerDMARC descubrieron una nueva oleada de correos electrónicos de phishing dirigidos a las principales aseguradoras de Oriente Próximo. Este ataque ha sido sólo uno entre muchos otros en el reciente aumento de casos de phishing y spoofing durante la crisis de Covid-19. Ya en febrero de 2020, otra gran estafa de phishing llegó a suplantar la identidad de la Organización Mundial de la Salud, enviando correos electrónicos a miles de personas en los que se pedían donaciones para paliar los efectos del coronavirus.

empresas de seguros

En esta reciente serie de incidentes, los usuarios del servicio Office 365 de Microsoft recibieron lo que parecían ser correos electrónicos de actualización rutinarios sobre el estado de sus cuentas de usuario. Estos correos electrónicos procedían de los propios dominios de sus organizaciones, solicitando a los usuarios que restablecieran sus contraseñas o que hicieran clic en los enlaces para ver las notificaciones pendientes.

Hemos recopilado una lista de algunos de los títulos de correo electrónico que observamos que se utilizan:

Actividad de inicio de sesión inusual en la cuenta de Microsoft
Tiene (3) mensajes pendientes de entrega en su portal de correo electrónico [email protected]*.
usuario@dominio Tiene mensajes pendientes de Microsoft Office UNSYNC
Notificación de resumen de reactivación para [email protected]

*Detalles de la cuenta cambiados para la privacidad de los usuarios

También puede ver una muestra de un encabezado de correo utilizado en un correo electrónico falsificado enviado a una empresa de seguros:

Recibido: de [ip_maliciosa] (helo= dominio_malicioso)

id 1jK7RC-000uju-6x

para [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recibido: de [xxxx] (port=58502 helo=xxxxx)

por dominio_malicioso con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipo de cuentas de Microsoft"

A: [email protected]

Asunto: Notificación de Microsoft Office para [email protected] el 4/1/2020 23:46

Fecha: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Versión MIME: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Este encabezado se ha añadido para rastrear el abuso, por favor, inclúyalo con cualquier informe de abuso

X-AntiAbuse: Nombre de host principal - dominio_malicioso

X-AntiAbuse: Dominio original - dominio.es

X-AntiAbuse: UID/GID del emisor/llamante - [47 12] / [47 12]

X-AntiAbuse: Dirección del remitente Dominio - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@dominio_malicioso

X-Authenticated-Sender: dominio_malicioso: admin@dominio_malicioso

X-Source:

X-Source-Args:

X-Source-Dir:

Received-SPF: fail ( el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido) client-ip= dirección_ip_maliciosa ; envelope-from=[email protected]; helo=dominio_malicioso;

X-SPF-Resultado: el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido

X-Sender-Warning: Fallo en la búsqueda inversa de DNS para dirección_ip_maliciosa (fallido)

X-DKIM-Status: ninguno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malicioso / dominio_malicioso / / por defecto

Nuestro Centro de Operaciones de Seguridad rastreó los enlaces de correo electrónico a URLs de phishing dirigidas a usuarios de Microsoft Office 365. Las URL redirigían a sitios comprometidos en diferentes lugares del mundo.

Simplemente mirando los títulos de los correos electrónicos, sería imposible decir que fueron enviados por alguien que suplantó el dominio de su organización. Estamos acostumbrados a un flujo constante de mensajes de correo electrónico relacionados con el trabajo o la cuenta que nos piden que iniciemos sesión en varios servicios en línea, como Office 365. La suplantación de dominio se aprovecha de ello, haciendo que sus correos electrónicos falsos y maliciosos no se distingan de los auténticos. Prácticamente no hay forma de saber, sin un análisis exhaustivo del correo electrónico, si proviene de una fuente de confianza. Y con las docenas de correos electrónicos que llegan cada día, nadie tiene tiempo para examinar cuidadosamente cada uno de ellos. La única solución sería emplear un mecanismo de autenticación que comprobara todos los correos electrónicos enviados desde su dominio, y bloqueara sólo los que fueran enviados por alguien que lo hiciera sin autorización.

Ese mecanismo de autenticación se llama DMARC. Y como uno de los principales proveedores de soluciones de seguridad de correo electrónico del mundo, en PowerDMARC nos hemos propuesto que comprenda la importancia de proteger el dominio de su organización. No sólo por usted, sino por todos los que confían y dependen de usted para recibir correos electrónicos seguros y fiables en su bandeja de entrada, en todo momento.

Puede informarse sobre los riesgos de la suplantación de identidad aquí: https://powerdmarc.com/stop-email-spoofing/

Descubra cómo puede proteger su dominio de la suplantación de identidad y potenciar su marca aquí: https://powerdmarc.com/what-is-dmarc/

Acerca de
Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

Caso práctico de DMARC MSP: CloudTech24 simplifica la gestión de la seguridad de dominios para clientes con PowerDMARC - 24 de octubre de 2024
Los riesgos de seguridad de enviar información sensible por correo electrónico - 23 de octubre de 2024
5 tipos de estafas por correo electrónico a la Seguridad Social y cómo prevenirlas - 3 de octubre de 2024

Cómo las estafas de phishing están utilizando Office 365 para dirigirse a las empresas de seguros

Herramientas

Producto

Empresa