Una campaña de phishing dirigida al sector seguros

Según un aviso de la insurtech Stoïk, hay una campaña de phishing que parece orientada a agentes y mediadores de seguros. La compañía ha alertado a Google y a los proveedores de dominios que las alojaban. Si bien se ha eliminado el contenido malicioso y aparece una página de warning se accede a uno de los dominios, los atacantes podrían continuar la campaña abriendo otros dominios.

Así lo señala Fernando Torrijos, analista CERT de Stoïk Iberia: “Aunque ya hemos conseguido que se retiren algunas URLs maliciosas, lo cierto es que es muy sencillo para los atacantes cambiar de dominio para seguir atacando, por lo que es importante estar alerta ante cualquier recepción de correo sospecho”. La compañía ha detallado el desarrollo de este phishing.

Al parecer, se inicia con un email que simula el acceso a un PDF compartido. Si se hace clic en él, lleva a la víctima a una página maliciosa que simula la de inicio de Office 365. Para intentar que no se den cuenta de que les están robando las credenciales, al introducirlas salta un error que les acaba llevando a la página oficial de Microsoft, de modo que parece que simplemente hubo una errata al introducir las contraseñas.

Fernando Torrijos explica que el sistema utilizado en esta campaña permite a los atacantes hacerse con las credenciales de acceso a Office 365 incluso aunque en la compañía tengan desplegado el doble factor de autenticación. Por lo demás, según el análisis del equipo CERT que tiene la compañía en España, el destino último es la venta de las credenciales en la dark web.