Campaña de phishing en curso dirigida a municipios y escuelas

Correo electrónico

pesca con red

Suplantación de identidad

Ataques de extorsión

Municipios

Escuelas

compartirpunto

OneDrive

CERT-SE ha observado recientemente varios casos en los que municipios y escuelas se han visto afectados por lo que consideramos la misma campaña de phishing.

Se trata de correos electrónicos que contienen enlaces a áreas de SharePoint o OneDrive y que provienen de direcciones de correo electrónico personales que parecen corresponder a un empleado real de un municipio o escuela. Los correos electrónicos parecen creíbles; están bien redactados y tienen contenido relevante que coincide con el remitente.

En los casos de los que ha tenido conocimiento CERT-SE, el modo es similar. No se trata de una mala configuración del sistema, sino de cuentas de usuario y contraseñas que han sido explotadas. Cuando se incita al destinatario a hacer clic en el enlace del correo electrónico, se carga un «paquete de phishing» en su cuenta de SharePoint o OneDrive. Desde entonces, este paquete se ha seguido utilizando en el transcurso de eventos y en contactos posteriores con otras empresas.

CERT-SE quiere pedir una mayor vigilancia, especialmente para los usuarios dentro de los municipios y/o operaciones escolares. En general, esté atento a los enlaces compartidos por correo electrónico, especialmente de usuarios desconocidos o personas con las que normalmente no tiene contacto. Si el remitente comparte un enlace a SharePoint o OneDrive, el destinatario debe contrarrestar o verificar con el remitente que tenía la intención de compartir la información.

CERT-SE también quiere instar a las empresas a compartir observaciones de phishing con CERT-SE para que, en el marco de nuestra misión, podamos advertir y brindar apoyo a otras personas que se han visto afectadas o están en riesgo de verse afectadas. Si se ve afectado, CERT-SE también lo insta a compartir información sobre el fenómeno con otras operaciones municipales.

Recomendaciones

Consulte la página temática de CERT-SE con consejos generales sobre el phishing: https://www.cert.se/tema/natfiske

Además de cambiar las contraseñas y agregar autenticación multifactor a las cuentas, también recomendamos en este caso buscar señales de que la creación de sesión (sesión/secuestro de cookies) se ha utilizado para obtener acceso al entorno de TI.

Antecedentes y lecturas adicionales

El phishing contra empresas suecas es común. Los atacantes utilizan esta tecnología para varios fines diferentes, por ejemplo, para obtener información confidencial que pueda utilizarse para realizar fraudes. El phishing también se utiliza como herramienta para obtener acceso inicial a entornos de TI en preparación para otros tipos de ciberataques (por ejemplo, ataques de extorsión).

No todo el phishing tiene consecuencias negativas, pero el gran volumen de envíos de correo significa que siempre existe un cierto riesgo de que el estafador tenga éxito.

Consulte la página temática de CERT-SE con consejos generales sobre el phishing: https://www.cert.se/tema/natfiske