Falso Email Phishing ‘Notificación de Cuenta’ con un Adjunto Maligno Inunda Nuestros Buzones
Varios de nuestros ayudantes y técnicos, a quienes les gusta configurar sus emails para que sigan hacia una determinada cuenta Gmail, han recibido un email Phishing que pretende advertirles que alguien ha entrado en sus cuentas y que les pide descargar su archivo adjunto para obtener más instrucciones. Claro, ¿suena bien? ... ¡no!
Similar a los complejos fraudes con emails Phishing que hemos encontrado antes, los spammers utilizan tácticas de intimidación para forzar al receptor a descargar el adjunto maligno y, como suplemento, el remitente es alguien con quien el titular de la cuenta se ha comunicado, i.e., una dirección de su lista de Contactos.
El mensaje spam provenía supuestamente de "enigmasoftwaregroup.com apoyo" y decía:
Estimado cliente,
Este email fue enviado por enigmasoftware.com para notificarle que hemos impedido temporalmente el acceso a su cuenta.
Tenemos razones para creer que su cuenta fue visitada por alguien más. Por favor, abra el archivo adjunto (open.html) y siga las instrucciones.
enigmasoftware.com
Figura 1. Email spam con adjuntos malignos remitido a la cuenta Gmail.
Como investigadores de seguridad y equipo de apoyo, analizamos el sospechoso mensaje en busca de elementos para determinar si se trataba o no de una estafa Phishing. Estas son las características Phishing que observamos en el falso email Phishing 'notificación de cuenta’:
- En "responder a", figuraba un email desconocido. La dirección "responder a" se muestra como "transliterationsx9@reeder-cpa.com", que definitivamente no es el email de nadie que conozcamos ni una cuenta administrativa oficial de Gmail.
- Encontramos palabras mal escritas en el texto. El mensaje Phishing tiene la palabra ‘believe’, (‘creer’ en inglés) mal escrita. Los mensajes Phishing se envían en masa, por lo que es probable que los phishers no se molesten manteniendo la precisión de cuestiones gramaticales y ortográficas. La mayoría de los estafadores Phishing, hablan el inglés como segunda lengua y su gramática es pobre, esto es un indicio claro de que se trata de una estafa. Además, los phishers utilizan texto sin sentido al azar y escriben palabras incorrectamente en la línea de asunto del correo electrónico para engañar a los filtros de spam.
- Provocar, alarmar, o urgir al destinatario a divulgar información personal. El falso mensaje Phishing ‘notificación de cuenta' avisa al destinatario que ‘impidió temporalmente el acceso’ a y que ‘la cuenta pudo haber sido visitada por otra persona’. Las estafas Phishing a menudo utilizan tácticas de intimidación para engañarle y obligarle a proporcionar datos personales. Uno tiene siempre que sospechar de un correo electrónico que solicite información personal.
- El mensaje spam incluye un adjunto que el destinatario debe abrir o descargar. El falso mensaje Phishing ‘notificación de cuenta' insta al receptor a abrir el archivo adjunto "open.html" para restablecer la cuenta. Si un correo electrónico afirma que un archivo adjunto debe ser descargado, es una clara señal de que se trata de un correo electrónico fraudulento. Los correos electrónicos Phishing envian archivos adjuntos o enlaces a sitios web sospechosos que pueden contener códigos malignos y exponer su equipo a software espía.
No se menciona el nombre del propietario de la cuenta. El mensaje Phishing se dirige al destinatario como "Cliente" en lugar de usar su nombre. Una empresa se dirige al propietario de una cuenta por su nombre de pila o por su apellido, no con un email o un nombre genérico.
Uno de nuestros técnicos descubrió dos emails más similares al mencionado arriba en la Figura 1. Si observa, en la Figura 2. a continuación, el email Phishing se ve exactamente como si proviniera directamente de nuestro dominio de origen ‘enigmasoftware.com’ y proporciona un vínculo que se ve sospechoso.
Figura 2. mensaje email Phishing con enlaces malignos enviado a cuenta Gmail
El enlace ‘hxxp://isyourfrogboiling.com/zx.htm’ (no lo visite) encontrado en el mensaje Phishing de la figura 2. parece vender réplicas de relojes, como lo muestra la Figura 3. Es posible que el sitio haya sido diseñado para robar su información personal al tratar de comprar una de las réplicas.
Figura 3. Sitio de venta de réplicas de relojes potencialmente maligno.
Como usuario de Gmail, ¿ha notado algún correo electrónico Phishing similar a los que recibimos recientemente? Si es así, comparta su experiencia con nosotros publicando un comentario aquí abajo. También puede reportar correos electrónicos Phishing directamente a Google a través de la opción "Informe Phishing" de su cuenta, o, simplemente, elimínelos.