15 de octubre de 2012

¡Cuidado! Un falso mail de Microsoft intenta robar contraseñas

La empresa de seguridad Sophos, denunció un ataque de fishing que alcanza a distintos proveedores de correo electrónico, entre ellos se encuentran tres grandes Gmail, Yahoo y Windows Live.

A través de un mensaje fraudulento que, supuestamente proviene del fabricante, (por ejemplo, directamente desde Microsoft). La empresa les avisaría a sus usuarios que su dispositivo está en riesgo y les pediría que ingresen su dirección de correo electrónico y password (clave de seguridad) para solucionar el problema.

¿Cómo funciona esta trampa? El usuario recibe un correo de la dirección falsa [email protected] con el título "Microsoft Windows Update" en donde se le advierte que su software está desactualizado.

En el texto del mail se informa al usuario que, para mantenerse al día con las actualizaciones de Windows debe verificar la autenticidad de su cuenta de correo electrónico. Al hacer click el usuario en el botón "verificar" se redirecciona a una página falsa de Microsoft. Allí se le advierte al usuario que su dispositivo corre peligro (debido a una desactualización en el software).


Para evitar el supuesto daño, se le pide al usuario que seleccione el proveedor de correo que utiliza. Cuando usuario elige cualquiera de ellos (Gmail, Yahoo, Winsows Live, etc), a continuación se le solicita que ingrese su correo electrónico y su contraseña.

Al completar esos datos, el usuario vuelve vulnerable su cuenta de correo a acciones ilegales. Uno de los mayores riesgos es que queda expuesto a que ingresen a su mail y roben datos privados o realicen estafas a través de su cuenta de mail y en su nombre.

Una vez finalizado el supuesto procedimiento de seguridad, se redirecciona al usuario a una página real de Microsoft, para que revise las actualizaciones de seguridad que le hacen falta. Esta última acción es para evitar levantar sospechas entre los usuarios y profundizar la creencia de que el correo y la advertencia fueron legítimos.

Es fundamental tener mucho cuidado y evitar ingresar nuestro password en lugares en donde no estemos seguros que sean los oficiales.