8FPH20-00263-01 CSIRT advierte phishing de validación de cuentas en servicio de correo y red social

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene de LinkedIn y Gmail.

El atacante intenta persuadir a las personas para utilizar un enlace ubicado en el cuerpo del correo.

El mensaje del correo informa que, producto de actualizaciones que se estarían ejecutando en ambas plataformas (LinkedIn y Gmail) el usuario debe revalidar las cuentas.

Al seleccionar el enlace de actualizar, la persona es dirigida a un sitio falso de LinkedIn, donde se expone al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

Urls sitio falso:

hxxps://been1[.]webnode[.]com/contact/

Sender

biota[@]dpz[.]es

Smtp Host

[195.235.225.13]

Asunto

GMAIL WARNING

Otros antecedentes

URL Body SHA-256

9635b6f6fc1e791d0dd5285e1e4a412e0abb9a45f67dfaea2348eb6ab0fbb64d

Certificado Digital

Fecha Valido                                                 :             02-07-2020

Fecha Termino                                             :             30-09-2020

Emitido                                                         :             Let’s Encrypt Authority X3

Datos Alojamiento

IP                                                                    :             178.238.47.154

Número de sistema autónomo (AS)         :             AS 24971

Etiqueta del sistema autónomo                :             Master Internet s.r.o.

País                                                                :             Chequia

Registrador                                                  :             RIPE NCC

Datos del Dominio

Nombre de dominio                                   :             webnode[.]com

Estado del dominio                                     :             clientTransferProhibited

Creado                                                          :             21-03-1999

Expira                                                            :             21-03-2022

Información del registrador                      :             Realtime Register B.V.

ID IANA                                                          :             839

Correo electrónico                                     :             rtr-security-threats@realtimeregister.com

Servidores de nombres                              :             NS-DMDV77DMDB.EU-DNSWND.BE

NS-EDI8O4EDEB.EU-DNSWND.EU

NS-JV3MTIJVCB.EU-DNSWND.DE

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00263-01

8FPH20-00263-01 CSIRT advierte phishing de validación de cuentas en servicio de correo y red social