Estafa per correu electrònic de revalidació obligatòria de la propietat del domini

Els correus electrònics inesperats que exigeixen una acció urgent sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint suplanten la identitat d'organitzacions i organismes reguladors de confiança per crear una falsa sensació d'urgència i pressionar els destinataris perquè prenguin decisions precipitades. Els correus electrònics de "Revalidació de la propietat del domini requerida" són un exemple principal d'aquesta tàctica. Els investigadors de seguretat han identificat aquests missatges com a part d'una campanya de phishing dissenyada per robar les credencials dels comptes de correu electrònic. És important destacar que aquests correus electrònics no estan associats a cap empresa, organització, registrador de dominis o autoritat reguladora legítima.

Disfressat com a avís de compliment oficial

Els correus electrònics fraudulents estan elaborats per semblar-se a les notificacions oficials de compliment de dominis. S'informa als destinataris que la propietat del seu domini no ha estat revalidada en els darrers 90 dies i que cal prendre mesures per seguir complint amb les suposades regulacions. Els missatges fan referència a la "Normativa 3.18 de la ICANN" i adverteixen que si no es completa el procés de verificació, es suspendran els serveis de correu electrònic entrants i sortints en un termini de set dies.

El llenguatge utilitzat al llarg del correu electrònic pretén generar preocupació i urgència. En amenaçar amb interrupcions del servei, els estafadors intenten convèncer els destinataris perquè actuïn immediatament sense verificar l'autenticitat del missatge.

El procés de revalidació falsa

Al centre de l'estafa hi ha un botó que normalment s'anomena "Revalida el domini ara". En fer clic en aquest botó, els usuaris es redirigeixen a una pàgina d'inici de sessió de correu web fraudulenta que es fa passar per un portal de serveis de correu electrònic legítim.

La pàgina de phishing imita una pantalla d'inici de sessió de Roundcube Webmail i està allotjada a través de la plataforma Firebase Storage de Google. Perquè la pàgina sembli més convincent, és possible que l'adreça de correu electrònic de la víctima ja s'hagi introduït automàticament. A continuació, s'indica als usuaris que introdueixin la seva contrasenya per continuar amb el suposat procés de verificació.

En realitat, la pàgina només té un propòsit: recopilar credencials d'inici de sessió i transmetre-les directament als atacants.

Què passa quan es roben les credencials?

Els comptes de correu electrònic compromesos poden proporcionar als ciberdelinqüents accés a una quantitat important d'informació personal i empresarial. Com que els comptes de correu electrònic sovint estan vinculats a nombrosos serveis en línia, els atacants poden aprofitar les credencials robades per ampliar encara més el seu accés.

Un cop obtingut el control d'un compte de correu electrònic, els delinqüents poden:

• Llegiu els missatges confidencials i les comunicacions sensibles.
• Restableix les contrasenyes dels comptes en línia vinculats.
• Fer-se passar per la víctima en comunicacions amb companys, clients, amics o familiars.

• Distribueix més correus electrònics de phishing des d'un compte de confiança.

• Recopilar informació personal per a possibles casos de robatori d'identitat o frau financer.

Com que els comptes de correu electrònic sovint serveixen com a mètode de recuperació principal per a altres serveis, una sola bústia de correu compromesa pot provocar la presa de control de diversos comptes.

Per què les afirmacions són falses

Diversos indicadors posen de manifest la naturalesa fraudulenta d'aquests correus electrònics. Els missatges intenten explotar l'autoritat de la Corporació d'Internet per a l'Assignació de Noms i Números, coneguda comunament com a ICANN, suggerint falsament que la revalidació del domini s'està aplicant mitjançant notificacions directes per correu electrònic.

En realitat, la ICANN no contacta amb usuaris individuals a través de missatges no sol·licitats que exigeixen la revalidació del domini. A més, cap autoritat de domini legítima ni proveïdor de serveis de bona reputació exigeix que els usuaris verifiquin les credencials d'inici de sessió a través d'un enllaç incrustat en un correu electrònic inesperat.

El nom del remitent que sovint es mostra en aquests missatges, "Centre de validació de dominis globals", no té cap connexió reconeguda amb la ICANN, els registradors acreditats ni cap organització legítima de gestió de dominis. Tot l'escenari està inventat per crear credibilitat i enganyar els destinataris.

L’amenaça més àmplia més enllà del robatori de credencials

Tot i que l'objectiu principal d'aquesta campanya és la recopilació de credencials, correus electrònics fraudulents similars també s'utilitzen amb freqüència per a la distribució de programari maliciós. Els actors amenaçadors solen utilitzar atacs basats en correu electrònic per lliurar programari maliciós a possibles víctimes.

Els correus electrònics relacionats amb programari maliciós poden incloure fitxers adjunts infectats o enllaços que condueixen a llocs web maliciosos. Els tipus de fitxers habituals que s'utilitzen en aquests atacs inclouen fitxers executables, documents PDF, arxius com ara fitxers ZIP o RAR, scripts i documents d'Office que contenen codi maliciós. En alguns casos, es demana als usuaris que activin macros o altres funcions que desencadenen el procés d'infecció.

La majoria d'infeccions de programari maliciós transmeses per correu electrònic requereixen un cert nivell d'interacció de l'usuari, com ara obrir un fitxer adjunt, iniciar un fitxer descarregat, fer clic en un enllaç maliciós o habilitar contingut incrustat. És per això que la precaució i la verificació continuen sent fonamentals a l'hora de gestionar missatges inesperats.

Com respondre a aquests correus electrònics

Els destinataris que rebin un correu electrònic amb el text "Revalidació de la propietat del domini requerida" han d'evitar interactuar amb el missatge de cap manera. No s'ha de fer clic als enllaços, no s'han d'obrir els fitxers adjunts i no s'ha d'enviar mai informació personal a través de pàgines a les quals s'accedeix des de correus electrònics no sol·licitats.

El més segur és suprimir el correu electrònic immediatament. Les persones que ja hagin introduït les seves credencials a la pàgina de phishing haurien de canviar la contrasenya del correu electrònic sense demora, actualitzar les contrasenyes de qualsevol compte que pugui compartir les mateixes credencials i habilitar l'autenticació multifactor sempre que sigui possible.

Reflexions finals

La campanya de correu electrònic "Revalidació de la propietat del domini requerida" és una estafa de suplantació d'identitat (phishing) que es fa passar per un avís de compliment normatiu relacionat amb la ICANN. El seu objectiu és enganyar els destinataris perquè lliurin les credencials del seu compte de correu electrònic a través d'una pàgina d'inici de sessió de correu web fraudulenta. Els missatges es basen en la por, la urgència i afirmacions normatives falses per manipular les víctimes perquè actuïn sense la verificació adequada.

Entendre com funcionen aquestes estafes és essencial per protegir la informació sensible. Si es mantenen escèptics davant de sol·licituds inesperades, es verifica la informació a través de canals oficials i s'eviten els enllaços que contenen correus electrònics no sol·licitats, els usuaris poden reduir significativament el risc de convertir-se en víctimes de robatori de credencials i altres amenaces cibernètiques.