Es indiscutible que muchos de los problemas por los que está pasando Zoom son autoinfligidos. Descuidar la seguridad durante el desarrollo de una aplicación o servicio es algo que, tarde o temprano, termina por pagarse. Sin embargo, y recordando ese clásico de que a perro flaco todo son pulgas, no todos los problemas que salpican su nombre son responsabilidad suya, y el ejemplo perfecto de ello es una campaña de phishing de la que se ha hecho eco Graham Cluley, experto en seguridad.
En la misma, se están enviando mensajes de correo electrónico en los que se convoca a la potencial víctima a una reunión online inmediata con el departamento de recursos humanos de la empresa en la que trabajan. Pongo énfasis en un punto crucial en este scam: la inmediatez del encuentro. Y, claro, el correo incluye un apartado para que el usuario pueda, tras introducir los datos necesarios, iniciar la videoconferencia a través de Zoom y, de esta manera, averiguar qué está ocurriendo con su puesto de trabajo.
MS Recomienda
No ha hecho falta ni que lo dijera, porque seguro que ya lo has imaginado, ¿verdad? Efectivamente, el mensaje no afirma nada de manera concreta, pero sí que da a entender a la víctima que su situación laboral es precaria, ya sea por los resultados del primer trimestre de 2020 o por los efectos de la pandemia. En ese momento, es muy fácil asumirlo, es bastante probable que una parte de los receptores del mensaje, con el susto, no se paren a analizar fríamente la situación (esto es, precisamente, en lo que confían los atacantes), de por sentada la legitimidad de la comunicación y, a continuación, siga las instrucciones que se le indican.
Y esto es lo que se encuentra entonces la víctima, según ha mostrado Abnormal Security, la empresa de seguridad que ha detectado y denunciado la campaña. Hay tres puntos fundamentales en este scam que merecen ser destacados, sigamos el orden natural de lectura:
- Empecemos por la URL: zoom-emergency.myftp.org. Es decir, apunta al subdominio zoom-emergency del dominio myftp.org. Esto es todavía más revelador si tenemos en cuenta que este dominio corresponde, en realidad, a un servicio de DNS dinámico.
- El texto en color verde, traducido, dice lo siguiente: «Zoom ahora te permite unirte y alojar reuniones sin darte de alta. Tan solo prosigue con tu correo electrónico profesional y tu contraseña».
- Y claro, el apartado de login te lo recuerda una vez más, debes iniciar sesión con tus credenciales de acceso al correo electrónico profesional.
Evidentemente, cuando la víctima introduce esos datos para intentar acceder a la reunión, ésta nunca llega a producirse. Sin embargo, sus correo electrónico ya ha quedado expuesto y, salvo que sea consciente rápidamente de lo que ha ocurrido y haga lo necesario para cambiar la contraseña de inmediato (o que cuente con autenticación de dos o más factores), los daños pueden ser considerables.
Este scam en concreto ya no está operativo (por eso reproducimos la url del mismo), pero no será extraño que en los próximos días y semanas presenciemos otros similares. O, lo que es peor, campañas de spearphishing que reproduzcan el patrón del ataque pero sean mucho más sofisticadas en su operativa. Hablo, por ejemplo, de mensajes personalizados, con elementos de familiaridad, que hagan más sencillo el caer en la trampa.
Sentido común y cautela, una vez más. Si se nos quiere convocar a una reunión muy urgente, ¿tiene sentido que sea a través de un email que puede que tardemos horas en leer? ¿No sería más lógico que se recurriera, por ejemplo, a una llamada telefónica? Por otra parte, aunque no imposible, es un tanto extraño que antes de la convocatoria no hayamos recibido un mensaje con información sobre la misma. Quizá seamos nosotros los que tengamos que hacer esa llamada de teléfono para, en caso de duda (como sería el caso en un ataque de spearphishing) y confirmemos con nuestra empresa si el mensaje es legítimo o no.
Fuente:https://www.muyseguridad.net