En las últimas semanas hemos detectado un aumento de campañas de phishing (ataques B2B), utilizando falsos enlaces de OneDrive como vector inicial. En este artículo documentamos un caso real que afectó a una empresa del sector industrial, con el fin de ayudar a otras organizaciones a identificar y bloquear este tipo de amenazas.
🛠 Flujo del ataque
1️⃣ Primer contacto: correo de interés comercial
El atacante se presenta como Čižmešija, supuestamente desde Croacia, solicitando un catálogo y precios para productos. El mensaje está bien redactado y adaptado al sector, lo que genera confianza:
Hello,
This is Čižmešija from Croatia,
We kindly request your best pricing and Catalogue for your products.
We also want to know if you can deliver to Croatia Rijeka, for this information is crucial for us before we send our PO.
Thank you for considering our inquiries. We eagerly await your prompt response.
Kind regards
Ž. Čižmešija
Mac Globals Inc
+385 91 224 7000
Svilarska 20; Emera d.o.o.,
48000 Koprivnica, Croatia.
Email= info@macglobals.com
Email= Info.macglobals@gmail.com
Objetivo: Ganarse la confianza del equipo comercial para que continúe la conversación.
2️⃣ Respuesta legítima de la víctima
El equipo comercial de la empresa industrial, interesado en la posible venta, responde con una propuesta y preguntas adicionales para personalizar la oferta.
3️⃣ Entrega del enlace malicioso
El atacante responde rápidamente, esta vez incluyendo un enlace aparentemente legítimo a OneDrive:
https://onedrive.live.com/PO/en-us/cloudstoragefiles/fileaccess/Macglobal/
Sin embargo, este texto enmascara el enlace real:
https://onedrive-rusty-craves.surge.sh/index.html?e=email@victima.xx
Este dominio redirige a una página fraudulenta que simula la interfaz de OneDrive y solicita credenciales corporativas.
4️⃣ Elementos que delatan el fraude
- Diferencia entre enlace visible y el real: el texto parece de OneDrive, pero el enlace apunta a un dominio externo (surge.sh). Al pasar el cursor por encima del enlace, se revela el destino real.
- Urgencia comercial: se solicita una cotización rápida para forzar la apertura del enlace sin verificación.
- Encadenamiento de confianza: el atacante primero genera una conversación para que el envío del enlace parezca parte de un proceso comercial legítimo.
📸 Ejemplo del recurso malicioso compartido
En la campaña detectada, el enlace simulaba una carpeta compartida en OneDrive con documentos como:
- Purchase.pdf
- Specification.xlsx
- Drawings_sketches.png
- Presentation.mov
Al hacer clic en cualquiera de estos elementos, se mostraba un modal emergente solicitando las credenciales de usuario, con el campo del correo autocompletado (parámetro “e” de la URL).
🔍 Conclusiones y recomendaciones
Este ataque es un ejemplo de phishing dirigido (spearphishing) que aprovecha la ingeniería social B2B para superar las defensas habituales.
Medidas recomendadas:
- Verificar siempre el dominio real antes de abrir enlaces, incluso si parecen de servicios conocidos como OneDrive.
- Implementar filtros anti-phishing (como N-Able Mail Assure) que inspeccionen enlaces y detecten discrepancias entre el texto y la URL real.
- Formar a los equipos comerciales para reconocer tácticas de urgencia y confianza empleadas por los atacantes.
- Activar MFA (Multi-Factor Authentication) en todas las cuentas corporativas para reducir el impacto en caso de robo de credenciales.
Si quieres proteger a tu empresa de este tipo de amenazas antes de que lleguen a la bandeja de entrada, visita merabytes.com y solicita acceso a nuestro servicio avanzado de filtrado y análisis de correo electrónico. Bloqueamos campañas de phishing, malware y suplantación de identidad incluso antes de que sean visibles para los usuarios, reduciendo drásticamente el riesgo de compromiso.