Detectan phishing oculto en evaluaciones de rendimiento de empleados

En su afán por hacerse con las credenciales de cuentas corporativas, los ciberdelincuentes están ideando nuevas formas de engañar a los empleados en sitios de phishing. Recientemente, los expertos de Kaspersky han descubierto un nuevo esquema de phishing en el que los ciberdelincuentes intentan imitar el proceso de evaluación del rendimiento de las empresas, haciendo creer a los empleados que la evaluación es obligatoria y que puede conducir a un aumento de sueldo. Vale la pena señalar que en algunas empresas tales evaluaciones son una parte rutinaria del proceso de revisión salarial y es por eso que no generan sospechas.

Todo comienza, como siempre, con un correo electrónico. El empleado recibe un mensaje que parece ser de Recursos Humanos, recomendando una evaluación del desempeño. El texto del mensaje contiene un enlace a un sitio web con un formulario de evaluación para completar. Para cualquier persona nueva en la empresa y su procedimiento de evaluación, la secuencia de pasos puede parecer convincente. Solo la dirección del sitio web (que no está relacionada con ningún recurso corporativo) podría despertar sospechas.

Si el empleado abre el enlace, verá una página de inicio de sesión del "portal de recursos humanos". A diferencia de muchos recursos de phishing destinados a parecerse a páginas de inicio de sesión de servicios empresariales, este es bastante primitivo, con un fondo monocromático y campos de entrada de datos que cubren la página. En aras de parecer auténtico, los estafadores invitan al usuario a aceptar la política de privacidad (sin proporcionar un enlace a dicho documento).

Se le pide a la víctima que ingrese su nombre de usuario, contraseña y dirección de correo electrónico. En algunos casos, los estafadores les indican que ingresen su dirección de trabajo. Al hacer clic en el botón Iniciar sesión o evaluación, el empleado envía los datos a los cibercriminales.

En este punto, es probable que la "evaluación" llegue a su fin. El empleado puede esperar un poco un correo electrónico con más detalles que nunca llega. En el mejor de los casos, pueden sospechar que algo está mal y enviar un recordatorio al departamento de recursos humanos real, que luego notificará a la seguridad de TI. De lo contrario, la empresa podría no detectar el robo de identidad durante meses.

Después de obtener las credenciales de un empleado, el ciberdelincuente podría enviar correos electrónicos de phishing en nombre de la víctima a otros empleados, socios o clientes de la compañía. El atacante también podría obtener acceso a su correspondencia o documentos confidenciales internos.