Estafa por correo electrónico de consulta de compra en LinkedIn

Los correos electrónicos inesperados que parecen provenir de plataformas de confianza pueden ser muy convincentes, especialmente cuando prometen nuevas oportunidades de negocio. Por ello, los usuarios siempre deben tener precaución al recibir mensajes no solicitados que requieran alguna acción o que contengan enlaces y archivos adjuntos. Los correos electrónicos de consulta de compra de LinkedIn forman parte de una campaña de phishing y no están asociados con LinkedIn ni con ninguna empresa, organización o entidad legítima. Su objetivo es engañar a los destinatarios para que revelen sus credenciales de inicio de sesión confidenciales.

Una oportunidad de negocio falsa diseñada para generar confianza.

Investigadores de ciberseguridad han identificado los correos electrónicos de consulta de compra de LinkedIn como mensajes de phishing que suplantan las notificaciones comerciales de LinkedIn. Los correos electrónicos afirman falsamente que el destinatario ha recibido una nueva invitación comercial y una consulta de compra de una persona identificada como 'lisa_fan', quien se presenta como socia sénior y directora general de una empresa comercial con sede en Hong Kong.

Según el mensaje, el remitente está interesado en saber si la empresa del destinatario ofrece ciertos productos. Se anima a los destinatarios a revisar una supuesta solicitud de búsqueda de productos y a responder con las cantidades mínimas de pedido. El contenido está cuidadosamente redactado para parecer profesional y orientado a los negocios, lo que aumenta la probabilidad de que los destinatarios confíen en el mensaje.

Los vínculos peligrosos ocultos tras el mensaje

Los correos electrónicos fraudulentos suelen contener dos botones destacados. Uno invita a los destinatarios a aceptar la invitación del remitente, mientras que el otro los anima a proporcionar un presupuesto de inmediato.

Independientemente del botón que se seleccione, los usuarios son redirigidos a un sitio web malicioso creado específicamente para robar credenciales. El objetivo no es facilitar una conversación comercial, sino engañar a las víctimas para que proporcionen información confidencial de sus cuentas.

Dentro del sitio web de recolección de credenciales

La página de phishing está alojada a través del Sistema de Archivos Interplanetario (IPFS), un protocolo de almacenamiento de archivos descentralizado que los ciberdelincuentes suelen utilizar indebidamente para alojar contenido malicioso.

Al visitar la página, los usuarios pueden observar lo que parece ser una orden de compra en formato de hoja de cálculo asociada a una empresa llamada LightKing Tech Group Co. LTD. Sin embargo, el acceso al documento está bloqueado por una ventana emergente que indica que se requiere una verificación de identidad antes de poder visualizar el archivo supuestamente cifrado.

La ventana emergente solicita un nombre de usuario y una contraseña. Cualquier información que se introduzca en estos campos se transmite directamente a los estafadores que llevan a cabo la campaña.

¿Qué ocurre cuando se roban las credenciales?

Una vez que los ciberdelincuentes obtienen las credenciales de acceso, pueden intentar acceder a diversas cuentas y servicios pertenecientes a la víctima. Las consecuencias pueden ir mucho más allá de una sola cuenta comprometida.

Los riesgos potenciales incluyen:

• Acceso no autorizado a cuentas de correo electrónico, plataformas empresariales y servicios en línea.
• Robo de identidad, transacciones fraudulentas y otras estafas realizadas en nombre de la víctima.
• Mayor vulneración de las comunicaciones empresariales y la información corporativa sensible.

Dado que muchos usuarios reutilizan contraseñas en múltiples plataformas, un único incidente de robo de credenciales puede desencadenar una cadena de fallos de seguridad.

La distribución de malware sigue siendo una posible amenaza.

Si bien el objetivo principal de esta campaña es el robo de credenciales, en ocasiones se utilizan operaciones de phishing similares para distribuir malware. Los ciberdelincuentes suelen emplear campañas de correo electrónico para propagar software malicioso mediante archivos adjuntos o enlaces a sitios web infectados.

Los archivos maliciosos pueden estar disfrazados de documentos legítimos, archivos comprimidos, PDF, programas ejecutables o archivos de Microsoft Office. En algunos casos, visitar un sitio web malicioso puede provocar la descarga automática de malware. En otros, se solicita a las víctimas que descarguen y ejecuten manualmente un archivo.

Los documentos de Office también pueden contener macros dañinas que permanecen inactivas hasta que el usuario las activa. Por lo tanto, la infección suele depender de algún tipo de interacción del usuario.

Señales de alerta que revelan la estafa

Existen varios indicadores que pueden ayudar a los destinatarios a identificar estos mensajes fraudulentos antes de que se produzca cualquier daño:

• Consultas comerciales no solicitadas de contactos desconocidos.
• Las solicitudes para revisar documentos se realizan a través de enlaces externos en lugar de notificaciones oficiales de la plataforma.
• Mensajes urgentes que inciten a la acción inmediata, como aceptar invitaciones o proporcionar presupuestos.
• Páginas de inicio de sesión que solicitan credenciales antes de conceder el acceso a un documento.
• Inconsistencias relacionadas con los datos del remitente, la información de la empresa o las direcciones de los sitios web.

Reconocer estas señales de advertencia puede reducir significativamente el riesgo de convertirse en víctima.

Cómo responder a los correos electrónicos de consulta de compra en LinkedIn

Quienes reciban estos correos electrónicos deben evitar hacer clic en cualquier enlace, abrir los archivos adjuntos o introducir sus credenciales en cualquier sitio web enlazado. Lo más seguro es eliminar el mensaje de inmediato.

Si ya se han enviado las credenciales, los usuarios afectados deben cambiar las contraseñas comprometidas de inmediato, actualizar las cuentas que utilicen la misma contraseña y habilitar la autenticación multifactor siempre que sea posible. Además, se debe supervisar la actividad de las cuentas para detectar cualquier indicio de acceso no autorizado.

Reflexiones finales

La campaña de correos electrónicos de consulta de compra en LinkedIn es una estafa de phishing que explota la reputación de LinkedIn para generar una falsa sensación de legitimidad. Al presentar a los destinatarios lo que parece ser una oportunidad de negocio genuina, los ciberdelincuentes intentan engañar a los usuarios para que revelen sus valiosas credenciales de acceso. Mantener una actitud cautelosa ante correos electrónicos inesperados, verificar las comunicaciones a través de canales oficiales y evitar enlaces sospechosos son medidas esenciales de protección contra esta y otras amenazas en línea similares.