Las campañas de phishing se vuelven más efectivas cuanto más imitan a una fuente confiable. Recientemente, los investigadores de seguridad de Fortinet descubrieron evidencia de una campaña de phishing que se dirige específicamente a los usuarios de Microsoft Windows e instala tres tipos diferentes de malware en los sistemas que logra infectar.

Entre otras cosas, esta campaña brinda a los piratas informáticos que la respaldan la capacidad de robar nombres de usuario, contraseñas, datos bancarios y más. Eso es además de aprovechar el sistema infectado para extraer en secreto criptomonedas, que encuentran su camino hacia una billetera controlada por los piratas informáticos.

Para atraer a las víctimas para que se infecten, todos los correos electrónicos de contacto de la campaña de phishing están diseñados para aparecer como un informe de pago de una fuente confiable legítima, que contiene un documento de Microsoft Excel adjunto. Se incluye convenientemente para la revisión del destinatario. Naturalmente, cualquiera que abra el documento adjunto se condena a sí mismo, ya que está envenenado y contiene scripts diseñados para instalar cargas maliciosas en segundo plano.

Las campañas de phishing siguen siendo uno de los métodos de infección más populares en el mundo de la piratería. Tienden a gravitar hacia aquellas técnicas que funcionan y requieren relativamente poco esfuerzo.

El phishing encaja perfectamente en ese proyecto de ley. Por lo general, es un asunto trivial crear un correo electrónico que sea prácticamente idéntico a uno que podría obtener de una fuente confiable, y los piratas informáticos han estado envenenando archivos de Microsoft Excel desde los primeros días de Internet.

Como siempre, la mejor defensa contra este tipo de ataques es la vigilancia y la atención plena. Una llamada telefónica rápida a la fuente confiable que supuestamente le envió la comunicación por correo electrónico casi siempre es suficiente para verificar si es real. Sorprendentemente, pocos usuarios dan este paso.

De manera similar, hacer clic en enlaces incrustados en un correo electrónico o descargar archivos debe hacerse con una buena dosis de precaución. Eso incluye otra llamada telefónica a la fuente confiable para asegurarse de que realmente le enviaron algo.

Desafortunadamente, eso es mucho más fácil de enseñar que de implementar, ya que los empleados no tienen un buen historial con ninguna de esas cosas.