Desde el CERT-PY se ha detectado últimamente un incremento significativo de compromiso de cuentas de correo electrónico tanto en el sector público y privado, mediante correos electrónicos maliciosos (phishing), con la particularidad de que el enlace malicioso no se encuentra en el cuerpo del correo, sino embebido en un archivo adjunto en formato HTML.
Hemos detectado un patrón donde se envía un correo que contiene un archivo adjunto al buzón de la víctima, por lo general con asuntos relacionados a temas de pagos, salarios, facturas etc.
Cuando un usuario abre este archivo se observa un formulario de inicio de sesión en HTML desde el cliente web (webmail). Lo que lo hace especialmente peligroso es que, cuando el adjunto se abre desde un webmail(Cliente web), el archivo adjunto malicioso se visualiza desde la ruta en la que el servidor de correo almacena los adjuntos. Dicha ruta corresponde al dominio real del servicio de correo, lo cual puede llevar a la víctima a creer que el sitio es legítimo y seguro.
El problema se presenta cuando el usuario tiene guardadas las credenciales en el navegador. El Gestor de Contraseñas al detectar que se muestra un formulario de login asociado con una URL en su registro, éste procede a rellenar los campos del falso formulario de login con la credencial resguardada por el gestor, haciéndolo parecer aún más legítimo al formulario malicioso, por lo cual la mayoría de las víctimas de este esquema terminan enviando sus credenciales de acceso al correo electrónico proveídas por gestor de contraseñas. Un solo click o “Enter” produce que las credenciales se envíen.
Desde el CERT-PY desalentamos el uso de de la funcionalidad de guardar contraseña en navegadores, además para este tipo práctica, existe malware especializado en el robo de credenciales reguardadas en navegadores web, para informarse al respecto puede consultar el siguiente enlace https://www.cert.gov.py/noticias/extraccion-de-contrasenas-cifradas-de-navegadores-por-medio-de-malware
Por otra parte, recomendamos el uso de gestores de contraseña específicos, tales como Keepass, KeeWeb o similares. Como referencia tenemos publicada una noticia al respecto, sobre el uso del gestores de contraseña en el navegador web https://www.cert.gov.py/noticias/almacenar-credenciales-de-acceso-en-navegadores-web-es-inseguro/