La empresa de seguridad Sophos ha sido la encargada de avisar a los usuarios de AOL, Gmail, Hotmail y Yahoo!. El mensaje, que está escrito en inglés, pide al usuarios que inserte su datos de acceso al correo electrónico para verificar el estado y la funcionalidad del mismo.
El mensaje también posee un enlace que redirecciona al usuario a una página falsa solicitando al mismo que inicie sesión en sus cuentas de Yahoo!, AOL o Gmail para llevar a cabo la activación del sistema.
¿Habéis recibido el correo electrónico?
El correo electrónico tiene como asunto «Microsoft Windows Update» y procede de la cuenta de correo «privacy@microsoft.com«. Aunque hasta ahora puede parecer que todo es más o menos creíble, las dudas deberían de empezar cuando vemos que el mensaje al completo no está ni escrito en español y está al completo escrito en ingles. Saber cuándo un correo es falso es muy importante.
Robo de contraseñas de cuentas de correo
En un primer momento, el correo electrónico solicita al usuarios que confirme las credenciales de acceso a la cuenta de Outlook (Hotmail para los que sean nostálgicos) para comprobar su funcionamiento. En el caso de que el usuario no tenga cuenta en este servicio de correo, que puede ser posible que no la tenga, el mensaje cuenta con otro engaño. El correo electrónico posee un enlace que dirige a un sitio web que imita ser Microsoft.com. En dicha página se advierte que el equipo no está protegido correctamente y que corre riesgo de sufrir un infección. Al usuario se le solicitan las contraseñas y el usuario de acceso a cuentas de correo de AOL, Yahoo! y Gmail.
Todo esto se trata de un ataque phishing que es doblemente peligroso por la simple razón de tener dos engaños distintos, por lo que un usuarios que tenga varias cuentas de correo y no sea consciente del engaño podría caer en ambas. En un artículo explicamos qué puede hacer un intruso en el e-mail.
Cautela antes de introducir contraseñas
Desde las compañías de seguridad se pide a los usuarios que obersven primero antes de facilitar ningún datos personal, incidiendo sobre todo en que las compañías nunca solicitarán la confirmación de contraseñas o la activación de servicios por medio de correos electrónicos, y más si además para dicha activación no sólo se pide la dirección de correo sino que se pide su contraseña.