Hola:
Os describimos un reciente ataque de ingeniería social que ha detectado un compañero nuestro en su cuenta de correo, dirigido contra los contactos de una clínica.
Hechos
1) La clínica tiene una cuenta en gmail (la nube)
2) Probablemente su contraseña sea trivial ( o estaba afectada por un troyano que robara contraseñas)
3) El atacante se hace con la contraseña y la cambia.
4) El atacante envía correo de Phishing a todos los contactos usando técnicas de ingeniería social, solicitando por favor ayuda económica con mucho apuro y discreción.
5) De todos los contactos, alguno puede picar por ser un verdadero amigo de la doctora.
No era el caso de nuestro compañero que nos lo ha reenviado y hemos podido alertar a la clínica.
6) La clínica, a través de la policía, intentará que gmail dé de baja la cuenta.Esto no sucederá en el mejor de los casos hasta dentro de 2 o tres días.
7) El atacante seguirá esperando su oportunidad mientras no se cierre esta cuenta. Si alguien "pica" se suele enviar una petición de dinero por un sistema de pago anónimo como bitcoin, Western Union,... o vía mulero.
Consecuencias:
1) La clínica se ha quedado sin su cuenta y sin la dirección de correo
2) Ha podido comprometer a un familiar o amigo
3) Su imagen de empresa ha quedado deteriorada
4) Ha perdido información confidencial de clientes que puede ocasionarle demandas y multas de la Agencia Española de Protección de Datos
Lecciones:
1) La contraseñas deben ser robustas, cambiarse con regularidad, y no ser la misma en varios servicios ni deducibles unas de otras ya que pueden:
· Acarrear la pérdida definitiva de nuestra cuenta, contactos,... si es comprometida
· Acarrear suplantación de identidad y afectar a un amigo que con buena voluntad intente ayudarnos
· Suponer un incumplimiento legislativo
· Pérdida de imagen difícil de recuperar
2) Muchos servicios, entre otros gmail, ofrecen una vía alternativa para identificarnos y recuperar la cuenta; Usa esta alternativa
Si la clínica la hubiera tenido activa, podrían haber solucionado el problema con más rapidez, cambiando la contraseña en vez de anulando la cuenta.
3) Para comprobar la veracidad de un correo sospechoso de phishing hay que contactar por otra vía (teléfono,...) que nos permita autenticar al amigo y alertarlo si fuera el caso.
Nunca responder al correo para comprobar, ya que estaremos alertando al atacante.
4) No fiarse nunca de sistemas de pago anónimos estilo bitcoin, Western Union,...
Saludos
|
