El correu electrònic de recuperació s'ha canviat per estafa de correu electrònic

La vigilància és essencial quan es tracta de correus electrònics inesperats, especialment aquells que afirmen que hi ha un problema amb un compte en línia. Els ciberdelinqüents sovint suplanten la identitat de serveis de confiança per crear una sensació d'urgència i pressionar els destinataris perquè actuïn sense verificar la legitimitat del missatge. El correu electrònic "S'ha canviat el correu electrònic de recuperació" és una d'aquestes estafes de phishing dissenyada per robar credencials d'inici de sessió sensibles. És important destacar que aquests correus electrònics no estan associats a cap empresa, organització, proveïdor de correu electrònic o servei de correu web legítim.

Estafa de canvi de correu electrònic de recuperació: una visió general

La campanya de correu electrònic "El correu electrònic de recuperació s'ha canviat" es fa passar per una notificació de seguretat d'un proveïdor de correu web. El seu objectiu principal és convèncer els destinataris que la seguretat del seu compte s'ha vist compromesa i que cal una acció immediata.

Normalment, el correu electrònic arriba amb l'assumpte "Risc de seguretat: detalls de recuperació canviats" i informa al destinatari que l'adreça de correu electrònic de recuperació vinculada al seu compte s'ha modificat recentment. Perquè l'alerta sembli autèntica, el missatge inclou un botó destacat "Comprova l'activitat" i afirma que prové d'una empresa anomenada "Webmail LLC".

Malgrat la seva aparença convincent, tota la notificació és fraudulenta. El nom de l'organització, la marca i l'avís de seguretat s'han fabricat únicament per enganyar els destinataris perquè revelin les credencials del seu compte.

Com funciona l’estafa

L'atac es basa en tècniques d'enginyeria social que exploten la por i la urgència. Es fa creure als destinataris que s'han fet canvis no autoritzats al seu compte, cosa que els fa fer clic al botó proporcionat per investigar el suposat incident de seguretat.

En lloc de dirigir els usuaris a un portal d'inici de sessió legítim, l'enllaç condueix a una pàgina web enganyosa allotjada a eu2.contabostorage.com, una plataforma d'emmagatzematge al núvol que s'ha utilitzat de manera abusiva per distribuir contingut de phishing. La pàgina mostra un formulari d'inici de sessió fals situat sobre una interfície de Gmail d'aspecte realista o un altre disseny amb temàtica de proveïdor de correu electrònic.

L'evidència suggereix que la pàgina de phishing pot adaptar dinàmicament el seu aspecte en funció de l'adreça de correu electrònic del destinatari. L'URL sembla contenir informació codificada sobre l'objectiu, cosa que permet a la pàgina presentar una marca que coincideix amb el proveïdor de correu electrònic de la víctima, augmentant així la seva credibilitat.

El veritable perill darrere de la pàgina d’inici de sessió falsa

La pàgina fraudulenta sol·licita l'adreça de correu electrònic i la contrasenya del visitant amb el pretext de verificar la propietat del compte. Qualsevol informació introduïda al formulari es transmet directament als estafadors.

Un cop els ciberdelinqüents obtenen accés a un compte de correu electrònic, les conseqüències poden ser greus. Els comptes de correu electrònic sovint serveixen com a portes d'entrada a nombrosos serveis en línia, cosa que els converteix en objectius molt valuosos. Els atacants poden utilitzar els comptes compromesos per:

• Restablir les contrasenyes dels serveis vinculats i dels comptes de xarxes socials
• Robar informació personal, dades financeres i comunicacions sensibles
• Duu a terme esquemes de robatori d'identitat i suplantació d'identitat
• Enviar correus electrònics de phishing a amics, familiars i contactes comercials
• Obtenir accés a emmagatzematge al núvol, plataformes bancàries o altres comptes connectats

Com que els comptes de correu electrònic sovint contenen anys de correspondència personal i professional, un compromís reeixit pot provocar danys importants a la privadesa i a la finançament.

Marca falsa i afirmacions enganyoses

Un dels aspectes més destacables d'aquesta campanya és l'ús indegut de la marca recognoscible relacionada amb el correu web. El correu electrònic intenta crear legitimitat presentant-se com una alerta de seguretat oficial d'un proveïdor de confiança.

Tanmateix, ni Google, ni Google ni Gmail tenen cap connexió amb aquesta campanya. De la mateixa manera, el suposat remitent, "Webmail LLC", és simplement una identitat inventada per donar suport a l'estafa. Els proveïdors de correu electrònic legítims no utilitzen pàgines d'inici de sessió de tercers enganyoses per verificar l'activitat del compte després d'alertes de seguretat.

Riscos potencials de programari maliciós

Tot i que l'objectiu principal d'aquesta campanya és el robatori de credencials, les operacions de phishing també solen estar relacionades amb la distribució de programari maliciós. Els ciberdelinqüents solen utilitzar correus electrònics fraudulents per propagar programari maliciós mitjançant fitxers adjunts o enllaços nocius.

El programari maliciós pot estar amagat en fitxers executables, documents PDF, fitxers de Microsoft Office, arxius comprimits, scripts o altres formats de fitxer. En molts casos, el procés d'infecció comença només després que la víctima obri un fitxer adjunt, activi macros malicioses o descarregui i executi un fitxer des d'un lloc web enllaçat.

Algunes pàgines de phishing poden fins i tot animar els visitants a instal·lar programari suposadament necessari per a la verificació o la seguretat. Seguir aquestes instruccions pot provocar infeccions de programari maliciós que comprometin encara més el dispositiu i les dades de la víctima.

Senyals d’alerta que revelen l’estafa

Diversos indicadors posen de manifest la naturalesa fraudulenta del correu electrònic "El correu electrònic de recuperació s'ha canviat". El missatge crea una urgència innecessària, afirma que s'han produït canvis crítics al compte i dirigeix els usuaris a un lloc web extern desconegut en lloc d'un portal oficial de gestió de comptes. A més, l'ús d'un nom d'empresa fals i una pàgina d'inici de sessió allotjada en un servei d'emmagatzematge al núvol en lloc d'un domini oficial són senyals d'alerta importants.

Els usuaris sempre han de verificar les notificacions de seguretat obrint el lloc web del seu proveïdor de correu electrònic directament a través d'un navegador en comptes de fer clic als enllaços que contenen els correus electrònics inesperats.

Com protegir-se

Si es rep un correu electrònic d'aquest tipus, s'ha d'ignorar i esborrar. Els destinataris han d'evitar fer clic a cap enllaç, obrir fitxers adjunts o introduir credencials en llocs web als quals s'accedeix a través de missatges no sol·licitats. Qualsevol persona que ja hagi enviat la seva informació d'inici de sessió ha de canviar immediatament la seva contrasenya, activar l'autenticació multifactor quan estigui disponible i revisar l'activitat del compte per detectar signes d'accés no autoritzat.

Reflexions finals

El correu electrònic "S'ha modificat l'adreça electrònica de recuperació" és una estafa de suplantació d'identitat (phishing) disfressada de notificació de seguretat del correu web. En afirmar falsament que s'ha modificat una adreça electrònica de recuperació, els atacants intenten atreure els destinataris a una pàgina d'inici de sessió falsa on es poden robar les seves credencials. Com que la campanya no té cap connexió amb cap proveïdor de correu electrònic legítim, la resposta més segura és evitar interactuar completament amb el missatge i verificar la seguretat del compte només a través de canals oficials.