Es oficial. [email protected] ya no es seguro.
Si recientemente recibió un mensaje de texto con un enlace extraño o una línea de asunto de correo electrónico que parece demasiado urgente, verifique el remitente. Si dice esa dirección, bingo. Es Microsoft. Es real. Y ese es el problema.
Los estafadores no están falsificando el dominio. Están armando el sistema actual.
La explotación de la confianza
Se nos enseña a comprobar las direcciones de los remitentes. Si es @microsoft.com, debe ser legítimo, pensamos. Ya no.
Los atacantes han descubierto una forma inteligente y de baja tecnología de secuestrar el motor de notificaciones. No necesitan entrar en los servidores de Microsoft. Sólo necesitan alquilar uno.
Aquí está la jugada, detallada por la firma de ciberseguridad Abnormal:
- El mal actor crea una cuenta desechable de Microsoft 36.
- Entran en la configuración de Marca de inquilino (específicamente en Microsoft Entra ID).
- Cambian el campo “Nombre” de ese inquilino por el mensaje de estafa en sí. Una alerta financiera falsa. Un aviso de phishing. Lo que te llame la atención.
- Activan una acción automatizada que obliga a Microsoft a enviar un correo electrónico a la víctima. A menudo, esto implica solicitar agregar el correo electrónico de la víctima a la cuenta.
Debido a que el sistema de Microsoft envía la notificación, utiliza la dirección legítima “[correo electrónico protegido]”.
¿El contenido del correo electrónico? Mínimo.
Sin archivos adjuntos maliciosos. No hay hipervínculos espeluznantes que conduzcan a una página de inicio de sesión falsa. Sólo una línea de asunto y tal vez un poco de texto del cuerpo. ¿El texto? Ese es el campo “Nombre” que el atacante editó anteriormente. Se encuentra en el encabezado o cuerpo como datos sin procesar de una fuente confiable.
El principal exploit reside en la configuración dentro de Microsoft Entra ID.
Tus filtros de spam miran al remitente. Ven a Microsoft. Lo dejaron pasar. No hay firmas de malware con las que tropezar. El correo electrónico es técnicamente limpio, aunque la intención sea maliciosa.
¿Cuánto tiempo lleva pasando esto?
Por un tiempo.
Es posible que hayas notado que hay gente en Twitter quejándose de esto últimamente, pero Abnormal escribió sobre esta táctica en enero. Los malos actores aman la eficiencia. Si un método funciona, miles lo copiarán. ¿Y este método? Evita las capas de seguridad más caras porque se basa en la confianza.
¿Por qué su proveedor de correo electrónico bloquearía un correo electrónico que proviene directamente de un proceso de verificación de inquilinos de Microsoft? No debería. Hasta que debería.
Según los informes, Microsoft aún no ha publicado una declaración pública ni una solución para este abuso de marca específico.
Entonces estás solo.
¿Qué haces ahora?
Ignora la dirección del remitente.
Mira el contexto. ¿Le pidió a Microsoft que cambiara el nombre de su inquilino? Probablemente no. ¿La línea de asunto parece una notificación genérica o contiene una demanda específica?
“El atacante navega a Propiedades del inquilino…”
Eso suena aburrido. Eso suena a papeleo de TI. Pero ese aburrido papeleo es el arma.
Mantén los ojos abiertos. Si llega un correo electrónico de esa dirección y no esperabas nada, haz una pausa. Verifique la URL en la barra de direcciones de su navegador, no los enlaces de correo electrónico. Elimina los bits sospechosos.
Internet ya no es seguro. Es simplemente conveniente.
Ten cuidado ahí fuera.
