TWCERT/CC ha recibido recientemente información externa que indica que los hackers están utilizando técnicas de ingeniería social cada vez más sofisticadas para ganarse la confianza de los destinatarios. Para lograr esto, se están generando páginas de inicio de sesión dinámicas basadas en el dominio de la empresa ingresado por el destinatario, lo que aumenta aún más la credibilidad del sitio web. Se recomienda a las empresas y a los usuarios que refuercen las medidas de protección contra la ingeniería social.
La información muestra que los atacantes están enviando correos electrónicos maliciosos que contienen enlaces de phishing en archivos adjuntos. Cuando el destinatario abre el archivo y hace clic en el enlace, se lo redirige a un sitio web de phishing. Para evitar la detección automática en entornos de prueba, los atacantes utilizan Captcha para verificar la autenticidad del usuario y solo muestran el contenido de la página después de una verificación manual. En este punto, los atacantes utilizan una página con el fondo borroso para engañar al destinatario y hacerlo ingresar información personal. Luego, según el dominio de la empresa ingresado por el destinatario, se genera dinámicamente una página de inicio de sesión correspondiente, que incluye el logotipo de la empresa y otras imágenes de fondo relacionadas, para aumentar la autenticidad de la página y engañar al destinatario haciéndole creer que es una interfaz de inicio de sesión legítima. La Figura 1 muestra el diagrama de flujo de esta técnica de ataque.
Figura 1: Falsificación de una página de inicio de sesión del sistema utilizando Captcha. Fuente: TWCERT/CC.
TWCERT/CC y el Instituto Nacional de Investigación en Seguridad de la Información también han observado que los hackers están enviando correos electrónicos de ingeniería social en nombre de agencias gubernamentales, intentando robar información confidencial de empresas y personas. Por ejemplo, recientemente los hackers se hicieron pasar por el Ministerio de Finanzas o la Agencia Tributaria para enviar correos electrónicos relacionados con asuntos fiscales, o se hicieron pasar por el Ministerio de Trabajo para enviar correos electrónicos relacionados con la jubilación de los trabajadores, entre otros.
Es crucial poder identificar correos electrónicos provenientes de agencias gubernamentales. Para prevenir este tipo de ataques, se pueden tomar las siguientes medidas:
1. Verificación del dominio: verificar si el dominio del remitente del correo electrónico es el dominio oficial del gobierno, como “.gov” o “.gov.tw”. Incluso si el dominio parece legítimo, es importante prestar atención a los detalles, ya que los hackers pueden utilizar caracteres similares para engañar, como “.g0v” o “.gov.tw1”.
2. Análisis del contenido del correo electrónico: los correos electrónicos oficiales suelen proporcionar instrucciones claras y formas de contacto. Si se solicita realizar una acción importante, es mejor contactar directamente con la agencia gubernamental correspondiente para confirmar, en lugar de hacer clic en los enlaces del correo electrónico. Además, los documentos oficiales suelen enviarse por correo postal y no por correo electrónico.
3. Medidas de protección: instalar y actualizar regularmente un software antivirus para asegurarse de que las bases de datos de virus estén actualizadas y puedan detectar y filtrar correos electrónicos sospechosos.
4. Reforzar la conciencia: las empresas deben proporcionar capacitación en seguridad de la información a sus empleados de manera regular, para aumentar su conocimiento y capacidad de prevención contra ataques de ingeniería social.
TWCERT/CC advierte a la población que, al recibir correos electrónicos sospechosos, deben prestar especial atención al remitente y asegurarse de que sea legítimo, para pre