Por qué Dashlane nunca le pedirá credenciales en un correo electrónico (porque así es como funciona el phishing)
Todos han oído hablar del phishing, tal vez incluso nos lo haya oído a nosotros. Y todo el mundo que tiene un correo electrónico activo (o un teléfono móvil o fijo) ha sido objeto de alguna campaña de phishing. Incluso si piensa que no lo ha sido. Porque al igual que infinidad de personas tratan de engañar continuamente a los menos cautos para que compartan información importante, los equipos de seguridad trabajan a contrarreloj para identificar y frenar estos ataques. Gran parte de este trabajo pasa desapercibido:
- Los proveedores de correo electrónico identifican y bloquean constantemente cuentas sospechosas.
- Las empresas de alojamiento de dominios tienen departamentos dedicados a evitar que los malos actores usen sus servicios (y a cerrarlos cuando lo hacen).
- Los filtros de correo no deseado identifican los mensajes sospechosos.
- Las empresas examinan los adjuntos y enlaces para mantener seguros sus sistemas críticos.
Desafortunadamente, el coste de ejecutar una campaña de phishing es tan bajo, y las recompensas potenciales son tan altas, que el phishing es parte del panorama de nuestras vidas digitales. Pero hay una defensa que ningún pirata informático puede superar: la persona que se niega a interactuar con su mensaje. Si no responde a la llamada de una "Posible Estafa", no será víctima de la misma. Si no hace clic en el correo electrónico que solo contiene un enlace enviado por un compañero de universidad con el que lleva tres años sin hablar, ese virus no se instalará en su ordenador.
Pero estos son ejemplos obvios y la mayoría de las campañas de phishing son más sofisticadas. Si bien muchas están dirigidas a empresas (si un correo electrónico de phishing pasa a través de la protección corporativa e incluso un empleado hace clic en él, toda la red de la empresa podría verse hackeada), algunas están dirigidas a personas.
Muy a menudo, estos correos electrónicos llegan ocultos como si fueran de una empresa que pide a los usuarios que "verifiquen la información de su cuenta" o algo similar. Normalmente, contienen un enlace a una página que se parece mucho, o es idéntica, a la página de inicio de sesión de la empresa que supuestamente ha enviado el correo electrónico. Pero no lo es. Es una copia diseñada para engañarle y que envíe voluntariamente sus credenciales a los delincuentes que harán uso de esa información en su propio beneficio, la venderán en la web oscura, o ambas cosas.
Funcionamiento para usuarios de Dashlane
Las campañas de phishing a menudo se centran en objetivos de «alto valor». Por ejemplo, las credenciales bancarias son lógicamente más valiosas que las de un servicio de streaming. Por razones obvias, las credenciales de un administrador de contraseñas tienen un gran valor.
Con una credencial, un atacante puede acceder teóricamente a todas las contraseñas de un objetivo. Por este motivo, nosotros, y una gran mayoría de sitios que permiten acceso a información confidencial de cualquier tipo, utilizamos la verificación mediante correo electrónico, dispositivos autenticados y otros medios. Así garantizamos que una persona que solicita acceso a una cuenta determinada esté autorizada a hacerlo.
Incluso si un atacante consigue su ID de Dashlane y su contraseña maestra, también tendría que tener acceso a la bandeja de entrada de su correo electrónico para acceder a la información que tiene almacenada con nosotros.
En las primeras horas del 5 de noviembre de 2021, nuestros agentes del servicio de ayuda al usuario comenzaron a recibir denuncias de un correo electrónico que "nosotros" habíamos enviado a los usuarios para que verificasen sus credenciales para "evitar la desactivación de determinadas funciones":
Este es un correo electrónico de phishing bastante sofisticado. Las personas detrás de él, copiaron gráficos de nuestro sitio y emularon el tono de nuestras comunicaciones con los clientes. El uso de "informaciones" en el botón es la única señal de alerta clara en el mensaje en sí.
Si hizo clic en ese botón, le redirigieron inicialmente al menos (una vez que comenzamos activamente a bloquear estas acciones, los atacantes se frustraron y comenzaron a redirigir a un sitio web de pornografía) a la siguiente página, si usted se encontraba, por lo menos, en Francia:
Una vez más, esta es una estupenda versión fraudulenta de nuestra página web. Una vista rápida a la URL muestra que viene de una dirección que, como mínimo, parece estar asociada con nosotros: app.auth-dashlane.com. Pero no somos propietarios de ese sitio, ni de ninguno de los otros sitios con la palabra «Dashlane» que se registraron poco antes de que estos correos electrónicos se enviaran por primera vez. Y no hay forma de que podamos comprar de forma defensiva cada nombre de dominio que incluye «Dashlane» o evitar que otros lo hagan.
Lo que hacemos y que nos ayudó a enterarnos de esta campaña es controlar cualquier registro de nombres de dominios que incluyen "Dashlane".
Entonces, ¿quién recibió este correo electrónico? Hasta ahora, solo unas decenas de usuarios de Dashlane han denunciado haber recibido este tipo de comunicaciones o similares, y no tenemos ningún indicio de que ninguna cuenta se haya hackeado. Esto se debe en parte a que, como muchas campañas de phishing, comenzó con una lista aleatoria de correos electrónicos, no una recopilación de usuarios de Dashlane conocidos.
No se produjo ninguna brecha que permitiese a los atacantes obtener los correos electrónicos; cribaron grandes listas de direcciones aleatorias con la esperanza de llegar a usuarios de Dashlane.
Igualmente, nos enteramos del ataque pronto e inmediatamente contactamos con agentes de registro de dominios, empresas de hosting y otros cuyos servicios usaron los atacantes para detenerles. Pero existen cientos de estos proveedores de servicios y esto puede ser como luchar contra Goliat, así que también notificamos lo sucedido en nuestra página de estado e informamos a nuestro equipo de atención al cliente para que los agentes pudieran ayudar a los usuarios de Dashlane que lo necesitaran.
Por supuesto, seguimos combatiendo todos los Goliats que se presentan y a partir de redactar este escrito, el ataque parece, en gran medida, haberse atenuado. Con suerte, a la larga los atacantes pondrán su foco de atención en otro objetivo, pero siempre habrá otros que estén listos para hacerlo.
Mantener los phishers a raya
Como lo hicimos en el actual ejemplo, seguiremos vigilando toda actividad sospechosa que pudiera afectar a Dashlane y a nuestros usuarios. Tomaremos medidas contundentes para detener cualquier incidente del que tengamos conocimiento. Asimismo, seguiremos realizando esfuerzos para hacer que nuestro servicio sea más seguro, más sólido y más resiliente.
Pero cuando se trata de phishing, lo más importante es no morder el anzuelo. Incluso si la integridad de su cuenta de Dashlane, cuenta bancaria o cualquier otra está protegida por la autenticación de dos factores u otros medios, nunca deberá darle a los delincuentes ningún tipo de información. Existe un motivo por el que casi todos los correos electrónicos que recibe de su entidad bancaria, proveedor de teléfono móvil u otras empresas mencionan algo parecido a "Nunca le pediremos sus contraseñas o información relacionada con su cuenta mediante correo electrónico". El motivo es simple: si quiere evitar que sus clientes sean víctimas del phishing, no actúe como un suplantador de identidad. Así que recuerde lo siguiente:
Dashlane nunca le pedirá sus credenciales o información de cuenta en un correo electrónico.
El único lugar en el que debe introducir su contraseña maestra o información de ingreso es en la página de ingreso o pantalla de nuestros servicios a la que ha accedido usted mismo. En algunos casos, nuestros agentes pueden pedir cierta información (como un correo electrónico o los últimos cuatro dígitos de una tarjeta de crédito) en respuesta a una solicitud iniciada por el usuario al equipo de asistencia técnica, pero nadie en Dashlane nunca le pedirá su contraseña maestra.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane
