Los ciberdelincuentes están tratando de engañar a los usuarios de Microsoft Dynamics 365 Customer Voice para que entreguen sus credenciales de inicio de sesión con una nueva campaña de phishing, advirtieron los expertos.
Un informe de Avanan reveló que los actores de amenazas enviarían un correo electrónico de notificación a través de Dynamics 365 Customer Voice, que indica que el cliente había dejado un mensaje de voz. Dado que el correo electrónico en sí se parece mucho a un mensaje de voz importante del cliente, y el enlace es legítimo, hacer clic en él es «el paso natural», dijeron los investigadores.
Dynamics 365 Customer Voice es la herramienta de administración de relaciones con los clientes (CRM) de Microsoft que las empresas usan para encuestar a los clientes, monitorear y organizar los comentarios de los clientes y convertir los datos de los comentarios en información procesable. Además, las empresas pueden usarlo para interactuar con sus clientes por teléfono. Los datos generados a través de estas interacciones se almacenan, que es lo que los delincuentes intentan aprovechar.
Nadie bloquea a Microsoft
Pero el botón «Reproducir correo de voz» en realidad redirige a las víctimas a una página de inicio de phishing que se ve casi idéntica a una página de inicio de sesión de Microsoft. Si los usuarios intentan iniciar sesión, sus credenciales (se abre en una pestaña nueva) acabaría en manos de los estafadores.
“Los piratas informáticos usan continuamente lo que llamamos The Static Expressway para llegar a los usuarios finales”, explican los investigadores. “En resumen, es una técnica que aprovecha los sitios legítimos para pasar los escáneres de seguridad. La lógica es la siguiente: los servicios de seguridad no pueden bloquear directamente a Microsoft; sería imposible realizar ningún trabajo. En cambio, estos enlaces de fuentes confiables tienden a ser confiables automáticamente. Eso ha creado una vía para que los piratas informáticos se inserten”.
El método de abusar de los servicios legítimos para distribuir mensajes maliciosos está ganando mucha fuerza últimamente, agregaron los investigadores, y dijeron que han visto abusos en Facebook, PayPal, QuckBooks y otros para este propósito.
“Es increíblemente difícil para los servicios de seguridad descubrir qué es real y qué está anidado detrás del enlace legítimo. Además, muchos servicios ven un enlace bueno conocido y, de manera predeterminada, no lo escanean. ¿Por qué escanear algo bueno? Eso es lo que esperan los hackers”, dicen.
El ataque es relativamente sofisticado debido al hecho de que el enlace de phishing real no aparece antes del paso final. “Sería importante recordar a los usuarios que miren todas las URL, incluso cuando no están en el cuerpo de un correo electrónico”, advierten.