En muchas compañías grandes, no es común que se solicite de manera regular la opinión del empleado sobre sus metas profesionales y otras inquietudes más allá de sus deberes laborales. Esto, generalmente, sucede durante las evaluaciones anuales de desempeño. A pesar de ello, muchos empleados desearían tener oportunidades más frecuentes para expresar sus perspectivas. Así, cuando reciben una invitación para hacer una autoevaluación, no dudan en participar. Los ciberdelincuentes están aprovechando este deseo en su más reciente esquema de phishing.
La trampa comienza con un correo electrónico supuestamente enviado por el departamento de Recursos Humanos, donde se detalla un proceso de autoevaluación diseñado para "fomentar el diálogo abierto entre el personal y sus supervisores". El mensaje promete una oportunidad para descubrir fortalezas y áreas de mejora a través de una reflexión sobre los logros y metas profesionales del empleado. El texto, redactado con un tono corporativo persuasivo, puede resultar bastante atractivo.
Sin embargo, aunque puede parecer auténtico, el correo electrónico presenta claras señales de ser una táctica de phishing. Uno de los indicadores más evidentes es el nombre de dominio del remitente, que no coincide con el de la empresa. Aunque se podrían estar utilizando los servicios de un contratista externo, el hecho de que el nombre señale a "Family Eldercare", una entidad que asiste a familias con parientes ancianos, debería generar sospechas.
Además, el mensaje establece que la encuesta es "OBLIGATORIA para TODOS" y debe completarse "antes del final del día", empleando un lenguaje urgente y coercitivo, lo que constituye una señal de alerta adicional. Ante tal requerimiento, lo prudente es detenerse a reflexionar y confirmar con el verdadero departamento de Recursos Humanos si realmente enviaron ese correo.
Conoce más sobre: 8 Indicios de Correos Electrónicos Falsos: ¿Cómo Identificarlos?
Los individuos que no prestan atención a las señales de advertencia y proceden a hacer clic en el enlace del formulario, se ven ante un conjunto de preguntas que, a primera vista, parecen estar relacionadas con la evaluación de su rendimiento laboral. Sin embargo, el verdadero propósito de este esquema de phishing se revela en las últimas tres preguntas, donde se les pide que proporcionen su dirección de correo electrónico y que ingresen y confirmen su contraseña.
Este método evidencia la astucia de los phishers, ya que suelen dirigir a las víctimas directamente desde el correo electrónico a un sitio externo para ingresar sus credenciales, una táctica que a menudo alerta a las personas. En este caso, la petición de la contraseña y el correo electrónico, que suele utilizarse también como nombre de usuario, está integrada sutilmente en el formulario y aparece al final del mismo, momento en el que la guardia del individuo puede haber bajado.
Es notable, además, la forma en que se presenta la palabra "contraseña" en la petición: con dos de sus letras sustituidas por asteriscos, una táctica diseñada para eludir los filtros automáticos que buscan detectar la palabra "contraseña" como un término señal de alerta.
Te podrá interesar: Phishing Intelligence: Escudo Defensivo contra Ciberataques
Protegerse de los ataques de phishing de formularios fraudulentos es fundamental para mantener la seguridad en línea. Estos ataques suelen involucrar la suplantación de sitios web legítimos para robar información personal o financiera. Aquí tienes algunas medidas para protegerte:
Sé escéptico: Mantén una actitud de desconfianza hacia cualquier correo electrónico, mensaje o sitio web que solicite información personal o financiera. Siempre verifica la legitimidad antes de tomar cualquier acción.
Verifica la URL: Antes de ingresar cualquier información en un formulario en línea, verifica la URL del sitio web. Asegúrate de que sea la correcta y que comience con "https://" (la "s" significa seguro). No confíes en URLs que parezcan sospechosas o que contengan errores de escritura.
Actualiza tus contraseñas: Utiliza contraseñas fuertes y únicas para todas tus cuentas en línea. Un administrador de contraseñas puede ayudarte a generar y almacenar contraseñas seguras.
Utiliza autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto añade una capa adicional de seguridad, ya que requiere que ingreses un código generado o recibido por otro medio después de ingresar tu contraseña.
Mantén tu software actualizado: Actualiza regularmente tu sistema operativo, navegadores web, plugins y software de seguridad para protegerte contra vulnerabilidades conocidas.
No hagas clic en enlaces sospechosos: Si recibes un correo electrónico o mensaje inesperado con un enlace, no hagas clic en él. En su lugar, visita el sitio web oficial de la organización o empresa directamente escribiendo su URL en tu navegador.
Educa a tu personal: Si estás en una empresa, asegúrate de que tus trabajadores estén capacitados para identificar y evitar el phishing. La concienciación y la capacitación son cruciales.