Tenga cuidado con los correos electrónicos de phishing de capacitación de cumplimiento
20 abril 2023
El NJCCIC recibió informes de una campaña de phishing dirigido al subsector educativo y disfrazada de capacitación de cumplimiento del estado de Nueva Jersey. La actividad observada se correlaciona con los correos electrónicos bloqueados enviados a los empleados del estado de Nueva Jersey e informes similares a los State Fusion Centers en los Estados Unidos. En una de las campañas, se usó una cuenta de correo electrónico comprometida de un empleado del distrito escolar para enviar notificaciones de cumplimiento de capacitación fraudulentas. En un intento de parecer legítimo y autoritario, el cuerpo del correo electrónico contenía un bloque de firma que incluía "La oficina de Igualdad de Oportunidades y Acceso y Oficina de Ética", que es el título incorrecto de la división de Nueva Jersey de la Oficina de Igualdad de Oportunidades en el Empleo, Acción Afirmativa (EEO/AA).
El correo electrónico contiene banderas rojas adicionales y verborrea típica para infundir un sentido de urgencia y miedo si el destinatario no cumple con la acción solicitada. El texto del correo electrónico afirma que la capacitación debe completarse dentro de las 24 horas, e indica además que no completar la capacitación puede resultar en multas administrativas, medidas disciplinarias e informes a la agencia estatal correspondiente. En un ejemplo, el correo electrónico indica que el empleado anónimo debe completar la capacitación definida en la Política de capacitación obligatoria 3364-25-127, un código administrativo de Ohio. Todos los enlaces incluidos dirigían al usuario a un ahora difunto sitio web, vvv[.]geopolisgis[.]gr/admin/video/subUrban_Planning/bid/login[.]php, lo que limita el análisis de la intención.
El NJCCIC desaconseja hacer clic en enlaces en correos electrónicos inesperados de remitentes no verificados. Se insta a los usuarios a confirmar las solicitudes inusuales para completar la capacitación con el oficial de cumplimiento o el representante de recursos humanos de su organización. Además, se alienta a los usuarios a verificar la validez de un sitio web antes de ingresar la información de la cuenta y ser cautelosos incluso si los mensajes afirman provenir de fuentes legítimas. Si las credenciales de la cuenta se envían a un sitio web fraudulento, se recomienda a los usuarios que cambien su contraseña, habiliten
autenticación de múltiples factores (MFA), y notifique al personal de seguridad de TI. Los correos electrónicos de phishing y otras actividades cibernéticas maliciosas se pueden informar al NJCCIC y el FBI IC3.
Tenga cuidado con los archivos adjuntos Zip y los documentos de Word de remitentes desconocidos
Alerta de seguridad Estafa falsifica el número de teléfono real
30 de septiembre 2021
Fuente de la imagen: Malwarebytes
Los actores de amenazas están falsificando números de teléfonos reales de entidades confiables para enviar alertas de seguridad urgentes y convincentes a través de mensajes de texto SMS. Por ejemplo, se envía una alerta de seguridad fraudulenta de Uber falsificando el número de teléfono real de Uber y, por lo tanto, aparece en el mismo hilo de conversación que los mensajes legítimos anteriores de Uber. Un enlace enviado en el mensaje incluye la palabra "uber"; sin embargo, el nombre de dominio fue creado recientemente, está alojado en un país diferente y no es el nombre de dominio oficial de Uber uber [.] com. Para restablecer la contraseña, el enlace dirige al usuario a un sitio fraudulento que contiene la marca Uber convincente y varias páginas para navegar para verificar la identidad e ingresar información personal y financiera, incluida la tarjeta de crédito y los detalles de la cuenta bancaria. Una vez que se ingresa la información, el usuario es redirigido al sitio web real de Uber sin verificar realmente su identidad.
El NJCCIC recomienda que los usuarios y las organizaciones se eduquen a sí mismos y a los demás sobre estas continuas amenazas y tácticas para reducir la victimización. Se recomienda a los usuarios que se abstengan de hacer clic en los enlaces enviados en mensajes de texto SMS y, en su lugar, naveguen directamente al sitio web oficial correspondiente. Si no está seguro de la legitimidad del mensaje, comuníquese con el remitente a través de un medio de comunicación separado, por teléfono o en persona, antes de tomar cualquier medida. Se pueden encontrar detalles adicionales de esta estafa en Malwarebytes entrada del blog. Para obtener información y recomendaciones adicionales, consulte los Productos NJCCIC, Aumento de la suplantación de identidad (phishing) de texto SMS y Estafas de suplantación de identidad.
Estafas relacionadas con la ayuda en desastres y la tragedia
El NJCCIC continúa observando campañas de phishing que intentan robar credenciales asociadas con servicios comerciales en línea, incluidos DocuSign, Amazon y LinkedIn. Estos correos electrónicos de phishing contienen archivos adjuntos HTML o URL que conducen a páginas de inicio de sesión de cuenta fraudulentas diseñadas para robar las credenciales de inicio de sesión de los usuarios. Los correos electrónicos de phishing de DocuSign dirigen a los usuarios a un sitio que les solicita que inicien sesión para ver un documento protegido. Los correos electrónicos de phishing de Amazon y LinkedIn solicitan a los usuarios que actualicen la información de su cuenta dirigiéndolos a páginas de inicio de sesión fraudulentas. Las credenciales de Amazon robadas se pueden usar para realizar compras fraudulentas, mientras que las credenciales de LinkedIn se pueden usar para acceder o contactar las conexiones de un usuario. En todos los casos de robo de credenciales, las contraseñas robadas se pueden utilizar en ataques de relleno de credenciales que intentan obtener acceso a las cuentas de los usuarios.
La NJCCIC recomienda a los usuarios que se abstengan de hacer clic en enlaces o abrir archivos adjuntos entregados con correos electrónicos inesperados o no solicitados, incluidos los de remitentes conocidos. Se recomienda a los usuarios que, en cambio, naveguen a sitios web escribiendo manualmente la URL en la barra de direcciones de su navegador. Si se sospecha que las credenciales están comprometidas, se recomienda a los usuarios que cambien las credenciales en todas las cuentas que usaron la misma información de inicio de sesión y que habiliten la autenticación multifactor cuando esté disponible. Se desaconseja la reutilización de contraseñas.
Estafa de secuestro de conversaciones
27 de junio de 2019
El NJCCIC ha recibido informes de una campaña de secuestro de conversaciones distribuida a través de mensajes de correo electrónico falsificados que intentan entregar el troyano bancario Qbot. Estos mensajes de correo electrónico falsificados parecen ser respuestas a conversaciones de correo electrónico legítimas anteriores y contienen URL de OneDrive que se vinculan a archivos ZIP maliciosos incrustados con Visual Basic Script (VBScript). Si se ejecutan, estos archivos se descargarán e instalarán Qbot. Las líneas de asunto comunes asociadas con esta campaña comienzan con "RE:" e incluyen referencias a cambios, actualizaciones, confirmaciones y personas nombradas. Los actores de amenazas utilizan técnicas de phishing altamente personalizadas y firmas de correo electrónico de aspecto realista para ganarse la confianza del objetivo y engañarlo para que descargue el malware. Qbot monitorea la actividad de navegación de las computadoras infectadas, registra información de sitios web financieros y admite capacidades polimórficas, lo que le permite mutar automáticamente a medida que se mueve dentro de una red. Qbot puede descargar archivos y filtrar otra información confidencial, incluidas las contraseñas de un sistema infectado.
El NJCCIC recomienda educar a los usuarios sobre esta y otras amenazas de phishing similares, recordándoles que nunca deben hacer clic en enlaces o archivos adjuntos abiertos entregados en correos electrónicos inesperados o no solicitados. Se recomienda a los usuarios que ejecuten programas antivirus / antimalware actualizados en todos los dispositivos y habiliten la autenticación multifactor cuando esté disponible para evitar que la cuenta se vea comprometida como resultado del robo de credenciales.
Estafa de solicitud urgente de Office 365
27 de mayo de 2019
NJCCIC informa sobre una nueva campaña de phishing que afirma provenir del "Equipo de Office 365". El correo electrónico advierte al usuario que su cuenta se eliminará a menos que la solicitud se cancele dentro de una hora. Esta nueva campaña emplea la vieja táctica de crear un sentido de urgencia para convencer a los usuarios de que tomen acciones arriesgadas, como hacer clic en un enlace en un correo electrónico inesperado. Una vez que se hace clic, el vínculo dirige al usuario a una página fraudulenta de Actualización de la cuenta de soporte de Microsoft Office que le pide al usuario que inicie sesión en su cuenta para cancelar la solicitud. Una vez que se ingresan y envían las credenciales del usuario, se envían a los actores de la amenaza y el usuario es redirigido a una página de destino con un "¡gracias!" mensaje. El inicio de sesión y otras páginas de destino se crearon utilizando Excel Online. Como siempre, si tiene inquietudes con un mensaje, infórmelo a la mesa de ayuda utilizando spamGRATISCONDADO DE HUDSONCOMUNIDADUNIVERSIDAD o llamar. Si ha hecho clic en un enlace de este correo electrónico, comuníquese con el Servicio de asistencia.