Si recibe una invitación de calendario para ver nuevos documentos por fax, tenga cuidado: lo más probable es que se trate de un ataque de phishing, que intenta obtener su identidad y credenciales de inicio de sesión para sus cuentas corporativas.
La advertencia fue emitida por investigadores de seguridad cibernética de INKY, quienes detallaron la campaña de phishing detectada por primera vez a fines de febrero de 2022.
Todo comienza con una cuenta de correo electrónico secuestrada, que usa una identidad comprometida para enviar un mensaje que contiene una invitación para «ver documentos recién recibidos», a través de un enlace.
¿Calendly hackeado?
En la superficie, es un enlace de calendario de Calendly. Según INKY, Calendly probablemente se usó porque cualquiera puede crear una cuenta gratuita, sin tener que ingresar los detalles de su tarjeta de crédito.
Aquí es donde la trama se complica. Las páginas de invitación de Calendly son personalizables. Esto permitió a los delincuentes crear una notificación de fax falsa, con todos los atributos de fax habituales (número de páginas o tamaño de archivo, por ejemplo), después de lo cual utilizaron la función Agregar enlace personalizado para insertar un enlace malicioso en la página del evento.
Al hacer clic en el enlace «vista previa del documento», la víctima accede a la página de recopilación de credenciales. En este ejemplo particular, la página es una imitación de Microsoft. Al pasar el cursor sobre el enlace, se muestra adónde conduce realmente: https://dasigndesigns[.]com/ss/updation/index.html, un sitio pirateado, incluido en las fuentes de amenazas de Google, Firefox y Netcraft, recuerda INKY.
Si la víctima ingresaba sus credenciales de inicio de sesión aquí, terminaría con los atacantes, mientras que la víctima vería un mensaje de error que indica que se ingresó una contraseña incorrecta. Después del segundo intento, la víctima sería redirigida a su propio dominio, lo que los investigadores describieron como un «toque inteligente» que minimiza las sospechas.
INKY, en este ejemplo, fue redirigido a inky.com
