Estafa por correo electrónico con factura revisada

Los correos electrónicos inesperados, especialmente aquellos relacionados con facturas, pagos o asuntos comerciales urgentes, siempre deben tratarse con precaución. Los ciberdelincuentes suelen disfrazar los ataques de phishing como comunicaciones corporativas legítimas para engañar a los destinatarios y obtener información confidencial. La campaña de correo electrónico "Factura revisada" es un ejemplo de esta amenaza.

Estos correos electrónicos no están asociados con ninguna empresa, organización o entidad legítima. En cambio, forman parte de una operación de robo de credenciales diseñada para sustraer credenciales de cuentas de correo electrónico corporativas y, potencialmente, comprometer entornos empresariales completos.

Dentro del mensaje fraudulento

Los correos electrónicos de phishing suelen llegar con el siguiente asunto:

'Política de gestión financiera_v4'

El mensaje afirma provenir de una entidad llamada "Gestión de Carteras y Finanzas" e informa a los destinatarios que hay disponible una factura revisada para un proyecto no especificado. Se solicita a los destinatarios que confirmen la recepción del documento, lo que confiere mayor legitimidad y urgencia a la comunicación.

El correo electrónico incluye un archivo con la etiqueta "Aprobar factura de licitación operativa en PDF", que sirve como principal señuelo. Al hacer clic en él, los usuarios son redirigidos a un sitio web malicioso en lugar de abrir una factura legítima.

El portal de documentos falsos

El enlace incrustado conduce a una página de phishing alojada en el dominio 'dancing-froyo-1eba9c.netlify.app'. El sitio web está cuidadosamente diseñado para parecerse a un visor de documentos de Adobe Acrobat y muestra un archivo falsificado llamado 'Approve_Operational_Policy_v4.pdf'.

A continuación, aparece una ventana emergente que indica que el documento está bloqueado y que se requiere verificación de identidad antes de poder acceder a él. Se le solicita a la víctima que proporcione:

• Una dirección de correo electrónico corporativa etiquetada como 'Identidad corporativa (Correo electrónico)'.
• La contraseña de correo electrónico correspondiente

En realidad, ningún documento está desbloqueado. El único propósito de la página es recopilar las credenciales de inicio de sesión y transmitirlas directamente a los atacantes que llevan a cabo la campaña.

¿Por qué las credenciales corporativas robadas son tan peligrosas?

Las cuentas de correo electrónico corporativas comprometidas pueden brindar a los ciberdelincuentes mucho más que acceso a una sola bandeja de entrada. Una vez que los atacantes obtienen credenciales válidas, pueden acceder a los sistemas empresariales, las comunicaciones internas, las plataformas de almacenamiento en la nube y los recursos compartidos.

Las cuentas robadas se utilizan con frecuencia de forma indebida para:

• Lanza campañas de phishing adicionales contra compañeros de trabajo y socios comerciales.
• Acceso a documentos confidenciales e información sensible de la empresa.
• Realizar ataques de compromiso de correo electrónico empresarial
• Suplantar la identidad de empleados y ejecutivos.
• Ampliar la intrusión a través de la red de la organización.

Por lo tanto, el robo de un solo conjunto de credenciales puede convertirse en un incidente de seguridad importante, que podría ocasionar pérdidas financieras, filtraciones de datos y daños a la reputación.

Riesgos del malware más allá del robo de credenciales

Si bien el objetivo principal de la estafa de la factura revisada es la obtención de credenciales, las campañas de esta naturaleza también se utilizan comúnmente para distribuir malware.

Los ciberdelincuentes suelen utilizar correos electrónicos no deseados para distribuir archivos o enlaces maliciosos. Los archivos adjuntos pueden ser documentos PDF, hojas de cálculo, archivos comprimidos, programas ejecutables o scripts. En algunos casos, al abrir el archivo o habilitar funciones como las macros, se inicia el proceso de instalación del malware.

De igual modo, los enlaces incluidos en correos electrónicos de phishing pueden redirigir a los usuarios a sitios web que descargan automáticamente software malicioso o persuadirlos para que ejecuten manualmente archivos dañinos. La mayoría de las infecciones requieren cierto grado de interacción por parte del usuario, por lo que la vigilancia se convierte en un mecanismo de defensa fundamental.

Cómo responder al correo electrónico de la factura revisada

Quienes reciban este mensaje deben evitar interactuar con cualquier enlace, archivo adjunto o solicitud que contenga. Dado que ni la supuesta entidad de "Gestión de Carteras y Finanzas" ni ninguna organización legítima están relacionadas con esta campaña, el correo electrónico debe considerarse completamente fraudulento.

Lo más seguro es eliminar el mensaje de inmediato. Quienes ya hayan ingresado sus credenciales en el sitio web fraudulento deben cambiar sus contraseñas sin demora e informar al departamento de seguridad informática o de TI de su organización para que se implementen las medidas de contención adecuadas.

Reflexiones finales

La estafa del correo electrónico de la factura revisada es una campaña de phishing cuidadosamente diseñada que explota los procesos comerciales rutinarios para robar las credenciales de correo electrónico corporativas. Al hacerse pasar por una notificación de factura revisada y redirigir a las víctimas a un portal de documentos falsificado, los atacantes intentan obtener acceso no autorizado a las cuentas comerciales y potencialmente comprometer a organizaciones enteras.

Mantener un sano escepticismo ante los correos electrónicos inesperados, verificar la autenticidad de las comunicaciones relacionadas con las facturas y evitar las solicitudes de inicio de sesión no solicitadas siguen siendo prácticas esenciales para prevenir los ataques de phishing y proteger la información corporativa confidencial.