Investigadores de seguridad han descubierto 200.000 correos electrónicos de phishing que abusaban de la información de URL para disfrazar enlaces de phishing. La estafa se observó por primera vez el 21 de enero de 2025 y todavía continúa, con un volumen de amenazas diarias disminuyendo.
Los ciberdelincuentes detrás de esta campaña quieren atacar a tantas organizaciones e individuos como sea posible. Los piratas informáticos no parecen apuntar a industrias específicas, por lo que una amplia gama de empresas podrían ser el objetivo a menos que cuenten con una solución de seguridad de correo electrónico avanzada.
Debido a que los mecanismos operativos de esta campaña son bastante sofisticados, la mayoría de los usuarios de correo electrónico podrían no ser capaces de detectar la amenaza a pesar de la capacitación en seguridad. Como resultado, las empresas están expuestas al riesgo de robo de credenciales.
Cómo funciona el ataque
Los perpetradores utilizan sofisticadas técnicas de manipulación de URL en correos electrónicos de phishing estándar, como facturas o tickets falsos, recibos de pago, renovaciones de suscripciones o notificaciones de activación de cuentas. Su principal método de engaño explota la parte “userinfo” de las direcciones web: el segmento entre “http://” y el símbolo “@” (por ejemplo, https[:]//username[:]password@example[.]com).
Como la mayoría de los sitios web ignoran este campo, los atacantes pueden insertar información engañosa antes del símbolo “@” para disfrazar enlaces maliciosos. Para mejorar aún más su engaño, los atacantes pueden utilizar varias técnicas en combinación:
- Codificación de URL de múltiples caracteres.
- Redirección a través de redirecciones aparentemente legítimas.
- La URL maliciosa real se inserta inmediatamente después del símbolo “@”.
- Cifrar las direcciones de correo electrónico de las víctimas para completar automáticamente formularios de registro falsos.
La carga final ofrece una página de phishing cuidadosamente diseñada que imita a Microsoft 365, completa con una implementación de CAPTCHA, un truco de ingeniería social que explota la confianza aprendida de los usuarios en mecanismos de seguridad como CAPTCHA, que están diseñados para distinguir a los usuarios auténticos de los bots. Esta sofisticada interacción de engaño técnico y manipulación psicológica muestra por qué la capacitación tradicional en verificación de URL es cada vez más inadecuada contra las campañas de phishing modernas.
Por protección
- Actualizar las reglas de redirección: si un sitio web o una aplicación permite la redirección, los profesionales de seguridad deben asegurarse de que su organización establezca reglas estrictas sobre dónde pueden conducir las redirecciones. Aquí se deberán tener en cuenta las mejores prácticas actuales.
- Aplique parches y actualice los sistemas periódicamente. Todo el software, incluidos los clientes de correo electrónico y los navegadores web, deben mantenerse actualizados con los últimos parches de seguridad. Esto evita que los ciberdelincuentes exploten diversas vulnerabilidades que pueden utilizarse para llevar a cabo ataques de phishing.
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.