Estafa 'Microsoft Request Verification'

Los investigadores de Infosec descubrieron otra campaña de phishing dañina con el objetivo de recopilar las credenciales de inicio de sesión de los usuarios. Esta vez, los correos electrónicos atractivos se presentan como una notificación proveniente de Microsoft, solicitando a los destinatarios que verifiquen sus cuentas. Los correos electrónicos falsos implican que información importante sobre un supuesto pedido realizado por el usuario está contenida en un documento vinculado. para revisar los datos en los documentos, se les pide a los usuarios que hagan clic en el botón 'Verificar su identidad' que se encuentra en los correos electrónicos engañosos.

Como suele ser el caso cuando se trata de estas tácticas de phishing, el botón proporcionado dirigirá a los usuarios a una página de phishing especialmente diseñada. La apariencia visual del sitio no seguro puede ser similar a la de una página oficial de Microsoft o puede ajustarse para que coincida con el proveedor de servicios de correo electrónico de la víctima. En cualquier caso, se les pedirá a los usuarios que proporcionen las contraseñas de sus cuentas para iniciar sesión y ver los detalles del pedido falso. Toda la información proporcionada al sitio no confiable se verá comprometida al estar disponible para los estafadores.

Las consecuencias para las víctimas podrían ser significativas. Los estafadores pueden usar las credenciales recopiladas para apoderarse de las cuentas de correo electrónico correspondientes y explotarlas para numerosas actividades fraudulentas. Pueden pedir dinero a los contactos de la víctima, difundir malware, difundir información errónea o intentar expandir aún más su alcance poniendo en peligro cuentas adicionales conectadas al correo electrónico violado. La información recopilada por los estafadores también puede empaquetarse y ofrecerse a la venta en foros de piratas informáticos.