El robatori de credencials és una tendència a l’alça. Els delinqüents intenten fer-se amb l’usuari i contrasenya de diversos serveis per a, posteriorment, vendre-les o usar-les en atacs d’accés inicial a xarxes corporatives. Entre les credencials més cobejades es troben les que permeten accedir als comptes de correu d’empleats. ESET, companyia experta en ciberseguretat, ha tornat a comprovar aquests fets en tres campanyes diferents que s’han estat propagant en els últims dies.

Tres correus fraudulents amb la mateixa finalitat

En el robatori de credencials, els ciberdelinqüents poden optar per diverses tècniques que van des de l’enviament de malware, capaç de robar credencials emmagatzemades en diverses aplicacions d’ús freqüent en empreses, fins a demanar directament que l’usuari introdueixi les seves contrasenyes.

Aquests correus tracten de convèncer a l’usuari de diverses formes perquè accedeixi a un enllaç preparat pels delinqüents on se sol·licitaran les seves credencials. En un dels casos, comprovem que s’utilitza com a ganxo la necessitat de revisar un nombre de correus que s’han quedat en la quarantena de la bústia de correu.

Un altre dels exemples d’aquesta mena de correus rebuts en les últimes hores fa servir un fals avís on se li indica a l’usuari que el seu compte serà desactivat pròximament si no es registra en la nova versió de la seva bústia de correu. En aquest correu s’arriba fins i tot a esmentar l’empresa per a la qual treballa l’empleat que rep el correu per a donar-li major veracitat.

L’últim dels correus d’aquest estil enviat en les últimes hores està escrit en espanyol i ens alerta que la contrasenya de la nostra bústia de correu expirarà d’aquí a poc temps, però ens dona l’oportunitat de continuar usant la contrasenya actual si s’accedeix a l’enllaç proporcionat i la introduïm.

Aquest tipus de correus busquen generar una certa sensació d’urgència en el receptor del missatge perquè actuï ràpidament i no es pari a pensar si el correu ha estat tramès per un remitent legítim, o si la web a la qual s’accedeix pertany a la seva empresa. Depenent de la campanya de phishing, els delinqüents poden personalitzar o no la web on se sol·liciten les credencials, incloent-hi logos i colors corporatius.

En el cas que l’usuari caigui en el parany, les seves credencials de correu seran recopilades pels delinqüents i emprades en atacs posteriors.

Ús de credencials robades: possibles escenaris

Una vegada que els delinqüents hagin aconseguit les credencials de correu, aquestes acostumen a ser utilitzades principalment per a suplantar la identitat de la víctima i usar el seu mail amb finalitats malicioses. Això inclou l’enviament de correus als seus companys d’empresa, clients o proveïdors amb fitxers adjunts o enllaç a la descàrrega d’arxius que acostumen a estar infectats i que, al seu torn, poden ser utilitzats per a prosseguir amb el robatori de credencials o, en casos més greus, comprometre la seguretat i la informació dels dispositius que infecta.

Un ús habitual d’aquests comptes de correu robats inclou les estafes en les quals els delinqüents es fan passar per la persona a la qual han robat les credencials, i en cas que aquest empleat s’encarregui de tasques de cobrament i facturació, procedeixen a enviar mails a clients o proveïdors adjuntant factures pendents de pagament, però incloent un compte bancari controlat pels delinqüents. A vegades, fins i tot inclouen una cadena de missatges prèviament contestats per a donar més credibilitat a la persona que rep el correu des del compte compromès.

No obstant això, un dels pitjors escenaris als quals es pot enfrontar una empresa on s’hagi produït un robatori de credencials d’aquest tipus és aquell on els ciberdelinqüents utilitzen aquestes contrasenyes per a reconèixer la xarxa corporativa, els usuaris existents i fins i tot remetre malwares que serveixin com a cap de pont per a atacs posteriors. Aquests atacs poden incloure moviments laterals fins a arribar a màquines clau com a controladors de domini o servidors de fitxer que poden facilitar el robatori d’informació confidencial i el xifratge de sistemes de tota la xarxa corporativa.

En paraules de Josep Albors, director de recerca i conscienciació d’ESET España: “Com hem vist, no fa falta que els delinqüents es compliquin excessivament la vida per a aconseguir robar credencials de correu. Amb només un correu enviat de manera massiva a diverses empreses poden fer que diversos empleats caiguin en el parany i això pot ser només el començament dels problemes, per la qual cosa hem de protegir-nos amb solucions de seguretat que impedeixin que aquests correus arribin, si més no, a la safata d’entrada dels usuaris”.

Per Tecnonews