El equipo de CERT España de Stoïk, primera insurtech de Europa especializada en riesgos cibernéticos, han detectado una campaña de phishing que podría estar orientada a agencias y mediadores de seguros.

Esta nueva campaña se sirve de un correo que simula el acceso a un documento de PDF compartido y, al hacer clic, redirige a una falsa página que suplanta el inicio de Office 365 con el objetivo de capturar credenciales corporativas. De esta forma, cuando el usuario introduce sus credenciales, salta un error de contraseña incorrecta y al volver a solicitar de nuevo la contraseña, las credenciales son enviadas al atacante y el usuario es redirigido a la página oficial de Office 365 con el objetivo de que piense que se ha equivocado introduciendo sus credenciales.

Además, Fernando Torrijos Mediavilla, analista CERT de Stoïk Iberia, destaca que, en este caso, el atacante puede robar las credenciales incluso aun teniendo la compañía doble factor de autenticación (MFA), por lo que no estaría protegido de esta campaña.

En base al análisis realizado por el equipo CERT de España de la compañía, es muy posible que el objetivo de los atacantes sea la recopilación de credenciales para su venta en la dark-web y su utilización para acceder a dichas compañías y aumentar así su impacto en ellas.

La compañía de origen francés ha alertado a los proveedores de dominios, confirmándoles que habían procedido a la eliminación del contenido malicioso, y a Google, haciendo que aparezca una página de wraning una vez que accedes al dominio. “Aunque ya hemos conseguido que se retiren algunas URLs maliciosas, lo cierto es que es muy sencillo para los atacantes cambiar de dominio para seguir atacando, por lo que es importante estar alerta ante cualquier recepción de correo sospecho”, apunta Torrijos.