Las estafas de empleo y trabajo remoto son muy populares entre ciberdelincuentes, estas suelen ofrecer increíbles oportunidades de trabajo o empleo temporal, aunque lo único que les interesa es obtener la información personal y financiera de sus víctimas.
En este caso, la empresa de ciberseguridad ESET Latinoamérica advierte sobre un nuevo engaño, menos conocido, que es la estafa por despido. En este caso, se utiliza la amenaza de perder el empleo, en lugar del señuelo de conseguir uno nuevo, para captar la atención de la posible víctima.
“Las estafas de despido son un tipo de ataque de phishing diseñado para que sus víctimas compartan su información personal y financiera, o alentarlas a hacer clic mediante un enlace malicioso que podría desencadenar en la descarga de malware. Las tácticas de ingeniería social utilizadas en el phishing pretenden crear una sensación de urgencia en la víctima, para que actúe sin pensárselo antes, y la excusa puntual es un aviso de despedido.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El engaño puede llegar en forma de correo electrónico de RR.HH. o de una tercera parte autorizada ajena a la empresa. El correo puede mencionar que sus servicios ya no son necesarios, o pretender incluir detalles sobre colegas que son difíciles de resistirse a leer. El objetivo final es persuadir a la víctima a que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.
Una vez que haga clic o abra el archivo adjunto, es posible descubrir que se activa una instalación encubierta de malware o se pide que se introduzcan datos de acceso en una página de phishing falsa. Con los datos de acceso al trabajo, los cibercriminales podrían secuestrar el correo electrónico u otras cuentas para acceder a datos y redes corporativos confidenciales con fines de robo y extorsión. En el caso que se reutilicen esos nombres de usuario en distintas cuentas, podrían incluso llevar a cabo campañas de relleno de credenciales para desbloquear también otros accesos.
“Las estafas de cancelación son eficaces porque explotan la credulidad de las personas, creando una sensación de miedo en la víctima e inculcándole la necesidad urgente de actuar. Sería difícil encontrar a un empleado que no quisiera saber más sobre su propio despido, o detalles potencialmente artificiales de una supuesta mala conducta. No es casualidad que el phishing siga siendo una de las tres principales tácticas de acceso inicial para los autores de ransomware y que haya contribuido a una cuarta parte (25 por ciento) de los ciberincidentes con motivación financiera de los últimos dos años.”, agregó.
Entre las distintas versiones de este tipo de estafa se incluyen: enviar un mail por el Servicio de Tribunales y Juzgados del Reino Unido y que supuestamente contiene un enlace a un documento de despido. Al hacer clic, se carga un sitio web falso con el logotipo de Microsoft diseñado para persuadir a la víctima de que lo abra en un dispositivo Windows. Se activa la descarga del troyano bancario Casbaneiro (también conocido como Metamorfo).
Un correo electrónico que supuestamente procede del departamento de recursos humanos de la víctima y que dice contener una lista de despidos y detalles sobre nuevos puestos. Al abrir el falso PDF se activa un falso formulario de inicio de sesión de DocuSign en el que se solicita a la víctima que introduzca su dirección de correo electrónico y contraseña para acceder.
Como ocurre con cualquier ataque de phishing, hay algunas señales de advertencia que deberían llamar la atención si se recibe este tipo de correos en la bandeja de entrada: Una dirección de remitente inusual que no coincide; Un saludo genérico; Enlaces incrustados en el correo electrónico; Enlaces o archivos adjuntos que no se abren inmediatamente; Lenguaje urgente; y Errores ortográficos.
Para asegurarse de que no caer en la trampa de las estafas por despido, ESET comparte distintas señales de advertencia: uso de contraseñas seguras, activar autenticación de dos factores, actualizar los dispositivos; no abrir archivos sospechosos y comprobar si algún compañero ha recibido el mismo mensaje.