Muy a su pesar, en los últimos tiempos hablar de Zoom es hacerlo, principalmente, de problemas de seguridad relacionados con este servicio de videoconferencia y reuniones online. Siendo justos, sí, la plataforma sufre algunos problemas de seguridad bastante serios, hasta el punto de hacer no recomendable su uso en determinados contextos, pero sus responsables han tomado buena nota de dichos problemas y trabajan contrarreloj para solucionarlos. Queda poco más de mes y medio para que se complete el plazo de tres meses al que se comprometió la compañía, así que permanecemos atentos a todos sus pasos.
Es por eso que, empatizando, puedo entender lo frustrante que puede llegar a ser para los responsables del servicio ver que Zoom se ha convertido en una identidad suplantada en campañas de phishing de manera cada vez más habitual. El último caso conocido es apuntado por la empresa de seguridad Abnormal Security en su blog, y que se suma a otros casos similares, como el también detectado por la misma compañía y del que te informamos hace un par de semanas.
En esta campaña, los usuarios reciben un correo electrónico que simula ser de Zoom, en el que se informa a la víctima de que se ha perdido una reunión online, a través de la plataforma, a la que se entiende que debería haber asistido. Como solución al problema, se le propone acceder a una grabación de la misma, así como a detalles adicionales. Para dotar de más credibilidad al mensaje se emplea el nombre real de la víctima en el correo, un elemento que también se muestra en el enlace a seguir. Este elemento, aunque pueda no parecerlo, sí que es interpretado por muchas víctimas como una señal de fiabilidad de un mensaje.
Y ahora llega una parte muy curiosa de esta campaña: el objetivo de los atacantes no son las credenciales del usuario en Zoom, sino en Microsoft. Así, cuando la víctima hace click en el enlace, cuya URL es zoom-nnnnn-web.app (nnnnn es variable) es llevada a una página que simula ser de inicio de sesión de Microsoft. Allí, claro, se le pide al usuario que inicie sesión con sus credenciales de Microsoft para acceder a la información de la reunión de Zoom. La página de inicio de sesión muestra el nombre de la organización y el nombre de Zoom para darle más credibilidad. Si la persona inicia sesión, el atacante obtiene los datos de dicho login..
Hay dos elementos clave en esta campaña que pueden mejorar su efectividad con respecto a otras. El primero es, ya lo he mencionado antes, la personalización del mensaje. Es un elemento probado que la simple presencia del nombre o una referencia personal de la potencial víctima es un elemento que genera confianza y, por lo tanto, empuja a ser más laxo en las comprobaciones de seguridad que debemos hacer siempre que recibimos un mensaje que, de cualquier modo, pueda comprometer nuestra seguridad.
El segundo, que también es común, es la urgencia. Primero la que produce el pensar que no hemos asistido a una reunión importante, en la que se supone que contaban con nosotros. Queremos, cuanto antes, saber qué nos hemos perdido. Y además, en este caso solo se puede acceder a la grabación de la reunión durante 48 desde la celebración de la misma. Pasado ese plazo, será borrada de los servidores de Zoom. Todo nos empuja a actuar rápidamente y, por lo tanto, a descuidar la seguridad. Algo que, no me cansaré de repetir, nunca hay que hacer.
La entrada Zoom, actor involuntario en otra campaña de phishing es original de MuySeguridad. Seguridad informática.