Kaspersky ha descubierto una nueva campaña de phishing dirigida a pymes. Este ataque aprovecha el proveedor de servicios de correo electrónico SendGrid para infiltrarse en las listas de correo de los clientes y emplea credenciales robadas para enviar mails de phishing, haciéndolos parecer auténticos, con lo que engaña fácilmente a los destinatarios.
Los ciberdelincuentes suelen dirigirse a las listas de correo utilizadas por las empresas para llegar a sus clientes, lo que ofrece oportunidades para el envío de spam, phishing y otras estafas sofisticadas. El acceso a herramientas legítimas para el envío masivo de correos electrónicos aumenta aún más las tasas de éxito de este tipo de ataques. En consecuencia, los atacantes intentan con frecuencia comprometer las cuentas de las empresas con proveedores de servicios de correo electrónico (ESP – email service provider). En su última investigación, Kaspersky ha descubierto una campaña de phishing que perfecciona este método de ataque obteniendo credenciales del ESP SendGrid mediante el envío de correos electrónicos de phishing directamente a través del propio servicio.
Ejemplo de correo de phishing
Con este sistema, los ciberdelincuentes aumentan la probabilidad de éxito, aprovechando que los destinatarios tienen plena confianza en la fuente que envía esos mails. Los correos electrónicos de phishing parecen proceder de SendGrid, expresan preocupación por la seguridad e instan a los destinatarios a activar la autenticación de doble factor (2FA) para proteger sus cuentas. Sin embargo, el enlace proporcionado redirige a los usuarios a un sitio web fraudulento que imita la página de inicio de sesión, donde se recopilan sus datos.
El phishing parece un correo electrónico perfectamente legítimo enviado desde los servidores de SendGrid con enlaces válidos que remiten a este dominio. Lo único que puede alertar al destinatario es la dirección del remitente. Esto se debe a que los ESP colocan en ese lugar el dominio y el ID de correo del cliente real. Una señal importante de estafa es el dominio «sendgreds» del sitio de phishing, que se parece mucho al legítimo «sendgrid» a primera vista.
Pero, lo que hace que esta campaña sea especialmente peligrosa es que los correos electrónicos de phishing burlan las medidas de seguridad tradicionales. Como se envían a través de un servicio legítimo y no contienen signos evidentes de phishing, pueden eludir la detección de los filtros automáticos.
«Utilizar un proveedor de servicios de correo electrónico fiable es importante para la reputación y la seguridad de una empresa. Sin embargo, algunos ciberdelincuentes aprendieron a imitar a los servicios de confianza, por lo que es fundamental comprobar adecuadamente los correos electrónicos que recibes y, para una mejor protección, instalar una solución de ciberseguridad eficaz», afirma Roman Dedenok, experto en seguridad de Kaspersky.
La mayoría de las veces, los phishers utilizan cuentas robadas, ya que los servicios de correo electrónico obligan a los nuevos clientes a realizar rigurosos controles, mientras que los antiguos, que ya han enviado algunos correos masivos, se consideran fiables.
