Alertan sobre una campaña de 200.000 correos electrónicos de phishing que usan URLs manipuladas para ocultar ataques a empresas

Check Point ha encontrado 200.000 correos electrónicos de phishing con URL manipulada. La estafa se observó por primera vez el 21 de enero y sigue en curso, aunque el volumen diario de amenazas está disminuyendo. Geográficamente, el 75% de estos correos electrónicos se han distribuido en EE. UU., mientras que el 17% ha sido en la región EMEA y el 5% en Canadá.

Los ciberdelincuentes que están detrás buscan comprometer al mayor número posible de empresas, pero no parecen dirigirse a sectores específicos. Esta campaña dificulta que los usuarios puedan identificarla como phishing puesto que es muy sofisticada, situación que pone en riesgo sus credenciales y por extensión, la seguridad de las empresas que no cuenten con una solución avanzada de seguridad para el correo electrónico.

Los ciberdelincuentes emplean técnicas avanzadas de manipulación de URLs en correos electrónicos de phishing tradicionales, como facturas falsas, tickets, recibos de pago, avisos de renovación o activación de cuentas.

Su principal método de engaño explota la parte «userinfo» de las direcciones web: el segmento entre «http://» y el símbolo «@» (por ejemplo, https://username:password@example.com). Dado que la mayoría de los sitios web no tienen en cuenta este campo, los atacantes pueden insertar información engañosa antes del símbolo «@» para disfrazar enlaces maliciosos. Para mejorar aún más su engaño, los atacantes pueden emplear varias técnicas combinadas:

•    Codificación de URL con caracteres especiales
•    Uso de redirecciones aparentemente legítimas
•    Ubicación de la URL maliciosa inmediatamente después del símbolo "@"
•    Codificación de direcciones de correo de las víctimas para completar automáticamente formularios de inicio de sesión falsos

El objetivo final de esta técnica es redirigir a la víctima a una página de phishing de Microsoft 365, diseñada meticulosamente con implementación de CAPTCHA para generar una falsa sensación de seguridad y confianza. Este equilibrio entre engaño técnico y manipulación psicológica demuestra por qué la formación tradicional sobre inspección de URLs se está volviendo insuficiente frente a las campañas de phishing modernas.

Cómo mitigar esta amenaza

•    Actualizar las reglas de redireccionamiento: en caso de que una aplicación o una página web permita redireccionamientos, es fundamental aplicar reglas estrictas sobre los destinos permitidos y adoptar las mejores prácticas.

•    Actualizar y parchear periódicamente los sistemas: mantener actualizado el software, incluidos los clientes de correo electrónico y los navegadores web, con los últimos parches de seguridad. De este modo, se evitará que los ciberdelincuentes exploten vulnerabilidades a través de las cuales se puedan ejecutar ataques de phishing.

•    Implementar seguridad avanzada en el correo electrónico: utilizar soluciones de seguridad del correo electrónico completas y avanzadas, como Harmony Email & Collaboration, permite detectar y bloquear los intentos de phishing más sofisticados, incluidos los que utilizan técnicas engañosas.

Dado que estas técnicas evolucionan constantemente, las reglas estáticas no son suficientes para una protección completa. Sin embargo, los sistemas basados en aprendizaje automático (ML, por sus siglas en inglés) pueden identificar patrones emergentes y ofrecer mejores defensas.

“A medida que las técnicas de phishing se vuelven más sofisticadas, las empresas deben migrar de controles de seguridad dependientes del usuario a sistemas de prevención automatizados impulsados por IA y ML”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal.