La urgencia por encontrar una nueva oportunidad profesional o el deseo de unirse a compañías de primer nivel, en muchas ocasiones, lleva a las personas a tomar riesgos que pueden salirles realmente caros. Y eso es precisamente lo que venimos viendo en las últimas semanas, con una campaña que ataca el factor psicológico de las personas, suplantando la identidad. Utilizando una infraestructura técnica sumamente elaborada, un grupo de ciberdelincuentes está logrando saltarse la desconfianza que se suele tener en un primer momento ante este tipo de ofertas, simulando un proceso de selección. El fin de esta campaña no es otro que robar todas las contraseñas de las víctimas. ¿Qué compañías suplantan?
El nivel de sofisticación de estos ataques o intentos de suplantación es tal que ya no recurren a los habituales correos electrónicos copiados e incluso mal escritos. Según ha revelado una exhaustiva investigación llevada a cabo por Will Thomas, asesor senior de la firma de inteligencia y seguridad en internet Team Cymru, los atacantes han clonado la identidad de al menos 34 empresas globales de alto valor. Entre las firmas afectadas se encuentran aerolíneas como: - Delta. - Emirates. - Marcas de consumo como Coca-Cola y Pepsi. - Marcas de lujo como Louis Vuitton. - Adobe, OpenAI y Netflix. - Adidas. Para ganarse la confianza absoluta del candidato (principalmente perfiles especializados en el sector del marketing), los delincuentes compran dominios web específicos que imitan a las empresas, con sus nombres, cargos y fotografías reales de los trabajadores de recursos humanos de dichas multinacionales.
Como detalla BleepingComputer, los analistas interceptaron correos electrónicos que clonaban perfectamente la identidad de profesionales reales de empresas como Adidas, invitando a la víctima a coordinar una llamada para evaluar su perfil. Al hacer clic, se desencadena una compleja cadena de redireccionamientos a través de plataformas legítimas de gestión de clientes y recursos humanos como PeopleForce o servidores vinculados a Salesforce Marketing Cloud, una estrategia pensada específicamente para engañar a los sistemas automáticos de detección de phishing. ¿Cómo lo hacen? Una vez que el usuario supera los redireccionamientos iniciales, es conducido a una página falsa bajo un dominio controlado por los atacantes (por ejemplo, adidas-hiring[.]com). Es en este punto donde los delincuentes despliegan su ataque más letal para llevar al usuario a dar sus datos.
Para proceder a reservar la fecha de la supuesta entrevista en el calendario del reclutador, la web falsa solicita al usuario que se autentique mediante sus credenciales de Google: - Al pulsar el botón «Continuar con Google», el sistema despliega una ventana emergente que simula de forma milimétrica la pasarela de autenticación oficial de la compañía tecnológica. Es precisamente ahí donde se roban los datos introducidos. - Los expertos explican que esta ventana no es una pestaña externa real del navegador, ya que se trata de una recreación total programada mediante código HTML y CSS renderizado dentro de la propia página web del atacante. Esta técnica es capaz de imitar direcciones o URL seguras, candados de cifrado SSL y animaciones de la empresa real. - Cuando la persona afectada introduce su correo electrónico y su contraseña en este formulario simulado, los datos no viajan a los servidores de Google, sino que se transmiten instantáneamente y en texto plano a los servidores de la organización criminal.