Alerta urgente de Microsoft: un nuevo error permite que extraños tomen el control completo de sus correos electrónicos

Microsoft ha emitido una nueva y preocupante advertencia después del descubrimiento de un nuevo error vicioso que puede dar a los ciberdelincuentes acceso completo a cuentas de correo electrónico, calendarios personales e incluso listas de contactos. La amenaza, que fue descubierta por primera vez por el usuario de Twitter @ffforward, utiliza una aplicación falsa llamada 'Actualizar' que, una vez instalada en una PC, puede comenzar a robar tokens de autenticación en Office 365.



Proteja su teléfono inteligente, computadora portátil y PC Imagen de la oferta Bitdefender Total Security - AHORRE £42

Bitdefender es una de las marcas más conocidas en lo que respecta a la protección cibernética y en este momento tiene un descuento de £ 42 en su paquete Total Security. Esto incluye protección completa para Windows, macOS, iOS y Android y tiene una duración de un año.

£27.99 Imagen de socio Ver oferta 60% DE DESCUENTO Traído a usted por

Si una víctima es engañada y acepta todos los permisos solicitados durante el proceso de instalación, permite que los delincuentes cibernéticos obtengan acceso completo a sus cuentas. Esto significa que los ladrones pueden enrutar correos electrónicos, mirar calendarios e incluso enviar mensajes a otros contactos personales en un intento por propagar aún más el error.

Microsoft está claramente preocupado por la amenaza y el servicio de inteligencia de seguridad de la empresa confirma que actualmente están rastreando la estafa.

En una publicación en Twitter, la compañía de Redmond dijo: 'Microsoft está rastreando una campaña reciente de phishing de consentimiento, informada por @ffforward, que abusa de los enlaces de solicitud de OAuth para engañar a los usuarios para que otorguen su consentimiento a una aplicación llamada 'Actualizar'.



Los mensajes de phishing engañan a los usuarios para que concedan permisos a la aplicación que podrían permitir a los atacantes crear reglas de bandeja de entrada, leer y escribir correos electrónicos y elementos de calendario, y leer contactos.

Microsoft dice que ahora logró desactivar la aplicación y actualmente está notificando a los clientes afectados.

Sin embargo, si recibe un correo electrónico que le pide que instale una aplicación llamada 'Actualizar', el consejo sigue siendo simple. Elimine el mensaje y no permita ningún permiso, ya que esto podría dejar su correo electrónico abierto a ataques.

“Esta es una campaña de phishing muy inteligente que puede circunnavegar la protección que viene con la autenticación de múltiples factores”, dijo Jake Moore, asesor de ciberseguridad global de ESET.



“Destaca la poderosa manipulación utilizada en los correos electrónicos de phishing dirigidos y que la protección estándar en esta forma de autenticación aún no es infalible. Los atacantes harán todo lo posible para intentar ingresar y un porcentaje de personas se verá fácilmente influenciado para que entregue este código en tiempo real, lo que les dará acceso completo a sus cuentas.

'La gente debe permanecer alerta ante cualquier solicitud de sus códigos de autenticación únicos, pero aún mejor sería confiar en una clave de seguridad física que agregue un nivel de protección mucho más fuerte'.