Los ataques de phishing tienen un objetivo claro y simple: robar datos e información confidencial al usuario. Para ello utilizan todos los medios que tienen a su alcance, aunque su técnica más habitual gira alrededor de la suplantación de identidad.
En un ataque de phishing nos encontramos con un «gancho» o «anzuelo», que es utilizado por el cibercriminal para engañar a su objetivo y hacer que éste le facilite los datos que necesita siendo, los más habituales, contraseñas, datos personales y números de cuenta y de tarjetas de crédito.
El correo electrónico es la vía principal a través de la cual se producen este tipo de ataques, aunque no es la única, ya que también existen páginas web y aplicaciones falsas que se esconden bajo un halo de credibilidad para engañar a los incautos.
Un analista de seguridad ha identificado una nueva modalidad de phishing a través del correo electrónico que adopta una estrategia original y peligrosa. Se hace pasar por un aviso de Office 365 que alerta al usuario de que hay varios correos que no han sido enviados, y le incita a utilizar el botón de «reenviar».
Si hacemos clic en ese botón nos lleva a una página web falsa de inicio de sesión con nuestra cuenta Microsoft. El diseño está muy conseguido para que el engaño sea efectivo, y pide al usuario que ingrese los datos de su cuenta (contraseña incluida) para completar la operación.
Al introducir los datos se produce el envío de los mismos al atacante y se produce un redireccionamiento a la web oficial de Office 365 para completar el engaño y evitar que el usuario pueda tomar medidas de forma inmediata.
Este tipo de engaños pueden ser muy peligrosos, así que tened mucho cuidado. Recordad que si tenemos correos sin enviar recibiremos avisos casi al instante, es decir, en el momento de producirse el error. También es importante que reviséis las direcciones y los datos asociados a cada correo para tener clara su veracidad, y en caso de duda siempre es mejor esperar a tener claro que el remitente es quien dice ser.
