El phishing atrae a los empleados con recordatorios internos falsos de "regreso al trabajo"


Los estafadores están tratando de robar las credenciales de correo electrónico de los empleados haciéndose pasar por el departamento de recursos humanos (RR.HH.) de su organización en correos electrónicos de phishing disfrazados de recordatorios corporativos internos de "regreso al trabajo".

Estos mensajes de phishing lograron llegar a miles de bandejas de entrada de personas específicas después de eludir las defensas de correo electrónico de G Suite según las estadísticas proporcionadas por los investigadores de la firma de seguridad de correo electrónico Abnormal Security que detectaron esta campaña de phishing.

Existe una alta probabilidad de que algunos de los objetivos caigan en manos de los estafadores, ya que durante la pandemia de COVID-19 de este año, la mayoría de las empresas enviaron regularmente actualizaciones por correo electrónico a sus empleados sobre los cambios de política. trabajo remoto.

Índice()

    Formularios de cumplimiento de recursos humanos con trampas explosivas

    Los correos electrónicos de phishing enviados a través de esta campaña falsifican el servicio de correo corporativo de las víctimas y están diseñados para parecerse a recordatorios corporativos internos automatizados con mensajes de voz adjuntos.

    Esta táctica se utiliza para convencer al objetivo de que los mensajes provienen de dentro de su empresa, lo que aumentaría la probabilidad de compartir información confidencial cuando se solicite en las etapas posteriores del ataque.

    Los correos electrónicos vienen con archivos adjuntos HTML personalizados con el nombre de cada empleado, una técnica diseñada para convencer a los destinatarios de que el correo electrónico es seguro para que abran el archivo adjunto sin pensarlo dos veces.

    Correos electrónicos de phishing
    Correos electrónicos de phishing (Seguridad anormal)

    Una vez que se abren los archivos adjuntos, los destinos se envían a un documento de Sharepoint con detalles de los cambios en la política del trabajo remoto y un enlace de confirmación en la parte inferior.

    Al hacer clic en ese enlace, serán redirigidos a una página de inicio de phishing disfrazada como una notificación de cumplimiento de recursos humanos que requiere que los objetivos ingresen la dirección de correo electrónico y la contraseña de su empresa.

    Una táctica adicional que se utiliza para asegurarse de que las víctimas proporcionen sus credenciales de correo electrónico es agregar una advertencia debajo del formulario de suplantación de identidad que les indique que nunca den sus contraseñas a personas en las que no confían.

    "Si los destinatarios son víctimas de este ataque, las credenciales de inicio de sesión de su cuenta de correo electrónico se verán comprometidas y los atacantes tendrán acceso a información comercial y personal confidencial", dijo Abnormal Security.

    Regrese al trabajo de phishing

    "Este ataque utiliza preocupaciones crecientes sobre los protocolos de seguridad corporativos durante la pandemia de COVID-19", agregaron los investigadores.

    "Este correo electrónico establece un plazo breve para que los empleados confirmen que han recibido este mensaje y completen el formulario".

    En una reciente campaña de phishing detectada por los mismos investigadores a principios de este mes, se observó a estafadores haciéndose pasar por el Servicio de Impuestos Internos (IRS) de EE. UU. Tratando de engañar a las víctimas para que paguen cantidades pendientes fabricadas relacionadas con pagos atrasados ​​o atrasados. retrasar.

    Los objetivos también han sido amenazados con informes de la Oficina de Crédito y demandas para aumentar aún más el cambio que los estafadores se rendirán y pagarán.

    También hay una campaña masiva de suplantación de identidad de Zoom dirigida actualmente a las reuniones de Acción de Gracias que ha permitido a los atacantes robar miles de credenciales de usuario.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir