Son muchas las ocasiones en las cuales los usuarios reportan un acceso no autorizado a sus cuentas. Ante situaciones de esta índole, en donde las credenciales de acceso del usuario caen en manos de un cibercriminal, uno se pregunta qué es lo que puede hacer. Es más que claro que una de las primeras medidas de seguridad a tener en cuenta es no proveer las credenciales de acceso a ningún servicio sin antes verificar la veracidad del mismo.
Los cibercriminales utilizan los correos electrónicos como uno de los principales canales de propagación para los ataques informáticos masivos, en donde se busca llegar a la mayor cantidad de usuarios posibles. Sin embargo, en más de una ocasión, en lugar de utilizar un código malicioso, engañan a los usuarios a través de Ingeniería Social para que realicen una acción determinada. En este caso, un correo llega a la casilla del usuario con el siguiente asunto: "¡Estoy viendo los mensajes de tu MSN! :-)"
Aquellos usuarios que caigan en el engaño y sigan el enlace provisto a través del correo, con el objetivo de conocer quienes acceden a sus mensajes; encontrarán una página que los invita a ingresar sus credenciales para conectarse a sus cuenta de correo. Al hacerlo, le permitirá , según dice el correo, conocer quiénes son las personas que lo han estado espiando.
Una vez que la víctima ingresa la información necesaria, sus credenciales quedan en manos de otra persona. Como se puede observar en la siguiente imagen, una vez que el usuario ingresa al sitio debe ingresar su usuario y contraseña para poder conocer tal información. Otro punto a tener en cuenta es que el mensaje que brinda a los usuarios menciona que no se almacena la contraseña, sin embargo, se envían correos a los contactos del usuario:
En repetidas ocasiones hemos reportado este tipo de situaciones, qué a través del uso de técnicas de Ingeniería Social buscan convencer a los usuarios de que realicen una acción que compromete su información personal. Es así como en esta oportunidad el objetivo es recopilar credenciales de Hotmail para luego volver promover a todos los contactos esta información.
Como se podrán imaginar, este ataque busca generar curiosidad en el usuario acerca de quién podría estar accediendo a su cuenta o quién está espiando sus actividades. Para evitar ser víctima de este tipo de ataques es necesario que el usuario se informe en materia de seguridad informática y cuente con buenas prácticas para navegar en Internet.
Pablo Ramos
Especialista en Awareness & Research
