Es habitual que las campañas de phishing se enfoquen en convencernos de facilitar involuntariamente nuestras credenciales bancarias a los ciberdelincuentes. En otras ocasiones, lo que les interesa son nuestros datos de acceso a servicios como los de Microsoft, Google o Facebook.

Pero también los usuarios de webmails autoalojados —los que suelen acompañar a los dominios privados— pueden ser objetivos de interés para esta clase de timos… según el INCIBE (Instituto Nacional de Ciberseguridad) esta campaña de phishing en concreto afecta a empresarios, empleados y autónomos que utilizan servicios de webmail, como Zimbra y similares.

El objetivo de los atacantes es obtener información confidencial, como nombres de usuario y contraseñas… lo que les permitirá acceder a sus cuentas, leer sus e-mails anteriores y realizar envíos en su nombre.

Modus operandi

Los e-mails fraudulentos vinculados a esta campaña en concreto tienen como objetivo engañar a los usuarios para que revelen sus credenciales de acceso. A continuación, se describen algunas de las variantes de esta campaña:

Variantes 1, 2 y 3

Vía: INCIBE

En esta modalidad, los atacantes pueden optar por uno de estos enfoques:

Notifican al usuario que su contraseña de correo electrónico caducará próximamente y proporcionan un enlace supuestamente destinado a actualizarla.
Suplantan al cliente de correo Zimbra y afirman que el almacenamiento ha llegado al límite, instando al usuario a hacer clic en un enlace malicioso.
Alertan a la víctima de que su cuenta se cerrará y solicitan la actualización a …