- Una campaña de phishing falsifica los correos electrónicos de DHL para robar las credenciales de inicio de sesión
- Las víctimas son engañadas con una confirmación de carta de porte falsa y pasos de verificación por etapas
- Los datos capturados, incluidas contraseñas y detalles del dispositivo, se envían directamente al buzón del atacante.
Forcepoint publicó un informe sobre una campaña de phishing en curso diseñada para robar las credenciales de inicio de sesión de DHL de las personas.
Comienza enviando un correo electrónico a la víctima, solicitándole la confirmación de una carta de porte. Aunque el correo electrónico en sí parece auténtico y está diseñado de la misma manera que los correos electrónicos legítimos de DHL, es fácil detectarlo como falso: el dominio que se utiliza para enviar el mensaje es cupelva(.)com, sin ninguna relación con DHL.
Pero muchas personas no vuelven a verificar la dirección del remitente, por lo que es seguro asumir que algunos pueden caer en este truco y hacer clic en el botón “Confirmar información de la guía de embarque” incluido con el mensaje.
El artículo continúa a continuación.
Manipular la percepción
Cuando esto sucede, las víctimas son redirigidas a una página de destino maliciosa donde primero se les pide que escriban el código del paquete que aparece en la pantalla. Obviamente, todo esto es falso y sólo está diseñado para que la víctima baje la guardia y confíe en el proceso.
“Esta página está diseñada para parecerse a un paso de verificación de facturas. No es un proceso OTP real”, dijo ForcePoint. “Este paso no cumple ninguna función de autenticación. Existe para manipular la percepción que tiene la víctima del flujo de trabajo”.
Después de escribir el número que se muestra en la pantalla, la página espera unos segundos, para que la víctima piense que realmente se está analizando algo en el backend. Después de eso, la víctima es redirigida a una segunda página, donde se le pide que proporcione sus credenciales de inicio de sesión.
Aquí es donde ocurre el robo y si las víctimas no proporcionan la contraseña, se les transmitirá por correo electrónico:
“El kit inicia EmailJS y envía datos capturados utilizando plantillas y servicios configurados. El buzón del atacante es slatty077@tutamail(.)com”, agregó Proofpoint. Además de los correos electrónicos y las contraseñas, la campaña también captura las direcciones IP de las víctimas, detalles del dispositivo y datos de ubicación.
“El phishing no requiere sofisticación técnica para tener éxito”, enfatizó Proofpoint. “Esta campaña funciona porque parece normal. La marca DHL es familiar, el paso de verificación parece legítimo y el formulario de inicio de sesión parece confirmar algo que la víctima ya ha iniciado. Nada de esto es real”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
