15 de octubre de 2012

¡Cuidado! Un falso mail de Microsoft intenta robar contrase帽as

La empresa de seguridad Sophos, denunci贸 un ataque de fishing que alcanza a distintos proveedores de correo electr贸nico, entre ellos se encuentran tres grandes Gmail, Yahoo y Windows Live.

A trav茅s de un mensaje fraudulento que, supuestamente proviene del fabricante, (por ejemplo, directamente desde Microsoft). La empresa les avisar铆a a sus usuarios que su dispositivo est谩 en riesgo y les pedir铆a que ingresen su direcci贸n de correo electr贸nico y password (clave de seguridad) para solucionar el problema.

¿C贸mo funciona esta trampa? El usuario recibe un correo de la direcci贸n falsa [email protected] con el t铆tulo "Microsoft Windows Update" en donde se le advierte que su software est谩 desactualizado.

En el texto del mail se informa al usuario que, para mantenerse al d铆a con las actualizaciones de Windows debe verificar la autenticidad de su cuenta de correo electr贸nico. Al hacer click el usuario en el bot贸n "verificar" se redirecciona a una p谩gina falsa de Microsoft. All铆 se le advierte al usuario que su dispositivo corre peligro (debido a una desactualizaci贸n en el software).


Para evitar el supuesto da帽o, se le pide al usuario que seleccione el proveedor de correo que utiliza. Cuando usuario elige cualquiera de ellos (Gmail, Yahoo, Winsows Live, etc), a continuaci贸n se le solicita que ingrese su correo electr贸nico y su contrase帽a.

Al completar esos datos, el usuario vuelve vulnerable su cuenta de correo a acciones ilegales. Uno de los mayores riesgos es que queda expuesto a que ingresen a su mail y roben datos privados o realicen estafas a trav茅s de su cuenta de mail y en su nombre.

Una vez finalizado el supuesto procedimiento de seguridad, se redirecciona al usuario a una p谩gina real de Microsoft, para que revise las actualizaciones de seguridad que le hacen falta. Esta 煤ltima acci贸n es para evitar levantar sospechas entre los usuarios y profundizar la creencia de que el correo y la advertencia fueron leg铆timos.

Es fundamental tener mucho cuidado y evitar ingresar nuestro password en lugares en donde no estemos seguros que sean los oficiales.