El phising es uno de los métodos más utilizados por los piratas informáticos con el objetivo de engañar a sus víctimas y robar las credenciales de acceso a alguno de sus servicios. Tanto es así, que Microsoft cuenta con algunos detectores que tratan de identificar si se están intentando usar esta técnica para engañar a sus usuarios, sin embargo, han encontrado una manera de engañar a estos escaners de Microsoft para robar las cuentas a los usuarios de Office 365.
La tecnica utilizada es aparentemente la habitual, a través de un correo electrónico que solicita al usuario que se identifique con sus credenciales a través de un enlace falso que no hará otra cosa que capturar y robar sus datos de acceso. Sin embargo, no parece que sea fácil detectarlo como un mensaje de correo de phising, ya que aparentemente los mensajes de correo están firmados por Microsoft.
Esta es la técnica utilizada para robar cuentas de Office 365
Concretamente, el mensaje utilizado lleva como asunto un mensaje indicando que se ha alcanzado el límite máximo de cuota en su cuenta de Office 365, por lo que de momento no es nada sospechoso. Al abrirlo, podemos ver cómo se indica al usuario que debe actualizar su cuenta y para ello ofrecen un enlace en el que se deben introducir las credenciales a la cuenta de Office 365.
En el pie del mensaje también se puede ver cómo aparentemente el mensaje de correo viene firmado por Microsoft, aunque si nos fijamos en la dirección de correo del remitente, no es una dirección oficial de la compañía. A pesar de ello, los escaners de phising de Microsoft no son capaces de detectar esa dirección de correo como sospechosa, ya que los creadores de este mensaje han encontrado la forma de saltarse esta protección.
En el código HTML del cuerpo del mensaje se ha usado texto aleatorio papra dividir las cadenas de texto que activarían las alertas y además establecen el tamaño del texto a 0. De esta forma, manejando el código HTML del mensaje consiguen enmascarar enlaces maliciosos o firmas falsas sin levantar sospechas en el servicio de correo electrónico en la nube de Microsoft.
Una vez que los usuarios que reciben este mensaje de correo pinchan sobre el enlace e introducen los datos de acceso a su cuenta, estos son robados para posteriormente utilizarlos con ninguna buena intención.
