Nuevas formas de ataque: Phishing en Dropbox

Esta técnica de estafa está en constante evolución. Los ciberdelincuentes buscan a diario nuevas formas de realizar este vector de ataque y se aprovechan no solo del email a secas, sino de redes sociales y otras plataformas para compartir información como Wetransfer o Dropbox.

Quizá leíste la nota sobre el Phishing en Wetransfer hace unos meses atrás, o nuestro artículo sobre las estafas en redes sociales asociadas a esta misma técnica. A veces parece obvio pensar »eso es una estafa!» pero no lo es y es importante recordar que los ciberdelincuentes la mayoría de las veces van un paso adelante, en este caso aprovechándose de nuevos espacios para cometer estafas.

La estafa de phishing de Dropbox es una ilustración perfecta de esto. Apareció hace un año y se volvió noticia. No ha recibido tanta atención últimamente, pero incluso después de un año, los atacantes siguen apuntando a los usuarios que usan este mismo truco.

Dropbox Phishing

Todo comienza con un correo electrónico simple, como la mayoría de las veces. El emisor dice que ha compartido un documento importante contigo. El correo electrónico se parece mucho a un correo electrónico oficial de Dropbox y tiene un enlace para acceder al documento. Para que parezca auténtico, algunos de estos correos electrónicos incluyen enlaces reales a Dropbox en el pie de página del correo electrónico.

Estos son enlaces a los Términos de servicio, la Política de privacidad y el Centro de ayuda de Dropbox. Aquí hay un ejemplo bastante simple:

Punto 1: Revisa quién te lo envía

Verifica cuidadosamente el «De» (quien te lo envía). Como se puede ver en la captura de pantalla de arriba, este correo tiene «Dropbox» como nombre del remitente. Es fácil caer en esta trampa, ya que el nombre del remitente y el estilo del correo electrónico hacen que parezca uno real de la empresa. Sin embargo, si miras detenidamente, verás que la dirección de correo electrónico de origen y el enlace incrustado claramente no son Dropbox.

Que no te pille desprevenido: Una vez que clickeas en el enlace, la URL lo lleva a una página web que se ve casi exactamente como una página de inicio de sesión real de Dropbox. Los phishers más avanzados de Dropbox llevan la estafa al siguiente nivel… Verifica las URL con cuidado, incluso si incluyen «Dropbox» Algunos estafadores de Dropbox seleccionan cuidadosamente las URL que parecen oficiales a primera vista. Por ejemplo, incluirán palabras clave comunes como “Microsoftonline” o “Dropbox” en el dominio o subdominio para que parezca un dominio genuino.

Punto 2: HTTPS? Una conexión segura no significa un sitio seguro

No siempre el HTTPS es signo de seguridad… cómo? Hoy los ciberdelincuentes se valen de esta »seguridad» para hacerte creer que es un sitio legítimo. Por ejemplo:

  1. Un sitio normal debería ser así »https://www.nombredelsitio.com, pero muchas veces los atacantes hacen lo siguiente: www.httpsnombredelsitio.com. Nos puede parecer fácil de detectar, pero mucha gente cae.
  2. Atacantes utilizan un sitio https real: »Hoy un Ciberdelincuente podría perfectamente crear un sitio web y agregarle el »https», lo cual nos podría llevar a pensar que es un sitio real, legítimo y que estamos protegidos… pero la verdad es que no, hoy muchos atacantes se valen de esto para hacer campañas de phishing »efectivas». Una conexión segura no significa un sitio seguro», afirma Diego Gallego, investigador de seguridad de Nivel4.

    El candado verde significa que se le ha emitido un certificado al sitio y que se ha generado un par de claves criptográficas. Dichos sitios encriptan la información transmitida entre tu y el sitio. En este caso, las URL de la página comienzan con HTTPS, con la última «S» que significa «Seguro».

Consejos

  1. Es importante verificar la dirección de correo electrónico del remitente: Si no te parece familiar, ves algo raro, está en tu bandeja de spam, o cualquier señal que te de desconfianza deshecha el correo.
  2. También debes tener cuidado incluso si el correo electrónico parece ser de un dominio oficial de Dropbox -o cualquier compañía-, ya que algunos servidores de correo electrónico no están configurados para verificar registros SPF / DKIM, por lo que se dejarán pasar correos electrónicos falsos.
  3. Verifica las URL de enlace: Si el correo electrónico pasa la primera verificación de seguridad, entonces debe verificar los enlaces en el correo electrónico; revisa la página web en su navegador y busque «https» al comienzo de la URL. Como dato Google Chrome oculta el https, por lo que debes hacer doble click sobre el candado para verificarlo y chequear el certificado.
Como se muestra en la captura de pantalla, Dropbox.com está protegido por un certificado SSL DigiCert EV (validación extendida) y este certificado se ha emitido a Dropbox, Inc.

La validación extendida significa que la autoridad de certificación (DigiCert, en este caso) realizó una verificación exhaustiva de Dropbox, Inc antes de emitir el certificado. De esta manera, puedes estar seguro de que el sitio web en el que estás pertenece a Dropbox.

¿Y si caigo en este Phishing qué me puede pasar?

A nivel empresarial: Dropbox almacena los datos de más de 500 millones de usuarios y 200.000 empresas, y es una de las empresas de contenido en la nube más importante del mundo. Poner un archivo malicioso en una sola cuenta de empleado de la compañía podría ser un golpe brutal para la privacidad de dicha organización. Y no se trata solo de la privacidad, sino de la existencia de un negocio que podría estar en juego.

Ransomware: Un phisher que haya tomado el control total sobre su cuenta y los datos asociados utilizando malware podría exigir un rescate significativo si desea recuperar su cuenta.

A nivel personal: Si eres una de esas personas que usa la misma contraseña prácticamente en todas partes estás frito. Toda la información que tengas en Internet podría estar en manos de los atacantes, así como de tus cuentas bancarias. Por esto, es importantísimo tener mucho cuidado en la generación de tus contraseñas, dónde las almacenes, etc.