Expertos en ciberseguridad emitieron una alerta por el descubrimiento de un nuevo virus informático que comenzó a propagarse a través de la popular plataforma de almacenamiento en la nube, Dropbox.
Esta peligrosa amenaza está diseñada para robar credenciales bancarias, y usuarios y contraseñas de accesos a empresas privadas, y así permitir a los cibercriminales acceder a sus cuentas de homebanking para vaciarlas.
El ataque se activa cuando el usuario inicia la descarga de un archivo que le es enviado por email. En ese momento se abre una ventana maliciosa que le pide que ingrese sus datos para continuar con el proceso. Al hacerlo, los ciberdelincuentes capturan la información sin que las víctimas lo noten.
Investigadores del laboratorio de ciberseguridad de la firma Kaspersky descubrieron que este fraude de phishing está dirigido a empleados de empresas que trabajan con documentación financiera.
Así funciona la estafa con Dropbox que roba credenciales bancarias
El engaño comienza cuando las víctimas reciben un correo electrónico proveniente de una dirección legítima de una empresa de auditoría, probablemente hackeada. Esta interacción inicial pretende hacer que el destinatario no sospeche de la estafa y como un paso previo para facilitar la actividad fraudulenta principal. Para ello, utilizan tácticas de ingeniería social para bajar la guardia de las víctimas y prepararlas para el siguiente paso.
“El correo electrónico parece fiable tanto desde el punto de vista humano como desde el punto de vista del software de protección. Presenta una historia creíble en la que se afirma que una empresa auditora oficial tiene información para el destinatario, junto con una cláusula de exención de responsabilidad sobre el intercambio de información confidencial. Además, el correo electrónico no contiene enlaces ni archivos adjuntos y proviene de una dirección de empresa fácil de buscar, lo que lo hace casi imposible de detectar por un filtro de spam”, afirmó Roman Dedenok, experto en seguridad de Kaspersky, a TN Tecno.
El único rasgo sospechoso de este correo electrónico es que el remitente utiliza Dropbox Application Secured Upload, un servicio que no existe. Aunque los archivos subidos a Dropbox se pueden proteger con contraseña, no ofrecen ninguna funcionalidad adicional.
Después de este correo electrónico, los ciberdelincuentes envían a sus víctimas una notificación que simular ser oficial de Dropbox y contiene enlaces maliciosos que activan malware diseñado para robar credenciales. Si el destinatario ya ha sido convencido por el mensaje inicial, es más probable que siga el enlace para revisar el documento.
Al hacer click en el enlace aparece una ventana borrosa, en la que no se puede ver su contenido, con un cuadro de autenticación superpuesto. El documento actúa como un gran botón con un enlace malicioso que abarca toda la superficie de la pantalla. Cuando se lo activa, el usuario ve un formulario que solicita su nombre de usuario y contraseña corporativos: credenciales que los ciberdelincuentes capturan y luego utilizan para entrar a los sistemas de la empresa y robar todo tipo de información sensible, desde datos financieros hasta contraseñas para acceder a cuentas bancarias.
Cómo evitar este ataque
Además de no abrir enlaces que llegan desde correos no solicitados, los expertos de Kaspersky recomiendan:
- Proporcionar al personal formación básica sobre higiene en ciberseguridad. Se puede realizar un ataque de phishing simulado para asegurarse de que los empleados saben distinguir los correos electrónicos de phishing.
- En general, todos los empleados de la empresa deben recordar que deben introducir su contraseña de trabajo solo en las webs propiedad de su organización. Ni Dropbox ni los auditores externos pueden conocer ni necesitar su contraseña de trabajo.
