Esta falsa actualización de DNS roba claves y credenciales

Esta falsa actualización de DNS roba claves y credenciales

Javier Jiménez

Tener nuestros sistemas, dispositivos y cualquier software que utilicemos actualizados es algo fundamental. Siempre debemos aplicar todos los cambios disponibles que pueda haber. Por un lado vamos a mejorar el rendimiento, ya que normalmente una actualización va a incluir mejoras y corregir errores. Pero también hay que tener en cuenta la importancia por seguridad. En ocasiones surgen vulnerabilidades que hay que corregir. Sin embargo a veces nos topamos con actualizaciones falsas, como es el caso de este artículo. Han detectado actualizaciones de DNS falsas que en realidad buscan robar las contraseñas y credenciales.

Actualizaciones de DNS falsas para robar claves y credenciales

Se trata de correos electrónicos falsos que están llegando a los propietarios de páginas webs. Los atacantes intentan engañarlos para robar las credenciales y contraseñas al recomendarles activar DNSSEC en su sitio.

Este problema ha sido descubierto por un grupo de investigadores de seguridad de Sophos. La víctima recibe un correo electrónico donde suplantan la identidad de WordPress y les pide hacer clic en un enlace donde deben iniciar sesión. Supuestamente esto es para activar esa actualización, esa mejora de DNS para el sitio web.

En realidad estamos ante un ataque Phishing. Si la víctima hace clic en ese enlace e inicia sesión, sus datos en realidad van a parar a un servidor controlado por los ciberdelincuentes. De esta forma están entregando en bandeja sus credenciales y contraseñas.

Los piratas informáticos envían algunos mensajes posteriormente donde les indican que el proceso de actualización se ha iniciado. Intentan hacer creer que realmente es algo legítimo, algo que va a ser positivo para ese sitio. Al final la víctima es redirigida a una página de error 404.

Los atacantes personalizan la página de Phishing

El enlace malicioso en el correo electrónico contenía información codificada de banner y URL que permitía a los atacantes personalizar la página de Phishing con diferentes logotipos, para hacerse pasar por numerosos proveedores de hosting diferentes. En total, según indican los investigadores de seguridad, tenían 98 imágenes diferentes listas para utilizar.

Los atacantes verifican los encabezados HTTP para obtener información sobre el proveedor de alojamiento del objetivo y personalizan el correo electrónico fraudulento y el sitio de Phishing. Ya sabemos que al personalizar este tipo de ataques hay una mayor probabilidad de éxito y es algo que los ciberdelincuentes cada vez tienen más en cuenta.

Desde RedesZone recomendamos no iniciar sesión nunca en sitios o plataformas que puedan ser inseguras. Por ejemplo nunca introducir nuestros datos en links que hemos recibido por correo electrónico o desde enlaces de terceros.

Además es muy importante tener activada la autenticación en dos pasos. En caso de sufrir algún ataque de este tipo un atacante que logre robar nuestra contraseña no podría acceder a ella sin ese segundo paso que puede ser un código que recibimos por SMS. Una manera más de protegernos y evitar problemas de este tipo.

Os dejamos un artículo donde mostramos las principales amenazas de seguridad en una página web.