Microsoft advierte a sus clientes de Office 365 de una campaña de phishing generalizada para robar nombres de usuario y contraseñas.
El equipo de inteligencia sobre amenazas de Microsoft 365 Defender publicó sus hallazgos en su blog de seguridad, que detalla cómo se realizan los ataques y aconseja lo que las personas pueden hacer para defenderse.
El ataque funciona llevando a los usuarios de Office 365 a través de una serie de enlaces y redireccionamientos a una página de Google reCAPTCHA. Los usuarios son llevados a una página de inicio de sesión falsa donde se roban sus credenciales, dejándolos en peligro.
Según el equipo de inteligencia, la verificación de Google reCAPTCHA agrega una falsa sensación de legitimidad a los usuarios que son engañados para que piensen que todo el proceso está bien.
Los piratas informáticos confían en una herramienta de marketing conocida como redirección abierta, un correo electrónico con un enlace que lleva al usuario a un dominio diferente. En el pasado, se ha abusado de los redirectores abiertos para dirigir a los usuarios a sitios maliciosos.
El equipo de inteligencia aconseja a los usuarios que coloquen el cursor sobre el enlace en un correo electrónico para verificar el destino antes de hacer clic. La idea es que el usuario pueda ver si el nombre de dominio es legítimo y está asociado con un sitio web que conoce y en el que confía.
Google, por otro lado, tiene una opinión diferente. En una publicación en su Bughunter University, un sitio dedicado a buscar errores y fallas, Google responde a las acusaciones de que los redirectores abiertos no son seguros.
La publicación establece que, si bien los redirectores abiertos en sí mismos no son una vulnerabilidad, admite que se puede abusar de ellos para otras vulnerabilidades. La empresa no está de acuerdo con el consejo de pasar el cursor sobre el enlace antes de hacer clic, ya que no siempre es el más preciso y los usuarios normalmente no examinan la URL después de moverse.
Sin embargo, Google no ofrece ningún tipo de consejo sobre defensa aparte de contactarlos.