Nuevo ataque de phishing que utiliza los servidores de Google como anzuelo

La empresa de seguridad Symantec ha detectado un nuevo ataque de phising, donde el atacante utiliza los servidores de Google como anzuelo con una fórmula muy convincente, ya que se emplea el servicio Google Drive como puente para perpetrar la fechoría; URL y conexión https apuntan al dominio google.com y el certificado SSL es válido, porque es de Google.

La suplantación de identidad (Phishing) es un tipo de ataque muy común, cuyo objetivo es adquirir información confidencial del atacado (contraseñas, número de tarjeta de crédito, etc.), mediante un engaño. El atacante se hace pasar por una entidad o persona en la que confiamos para recabar nuestros datos. Este tipo de ataque se suele realizar por correo electrónico, servicios de mensajería e incluso llamadas telefónicas.

Un vistazo a…
'Sgroogled.com': cuando MICROSOFT lanzaba anuncios ANTI-GOOGLE

El problema para el atacante hasta ahora ha sido el nombre de dominio empleado para cometer la fechoría. Suelen ser nombres "parecidos", pero fáciles de detectar para personas con conocimientos mínimos o con una pizca de picardía. Este nuevo vector de ataque es más sofisticado, porque el dominio no es "parecido", sino auténtico.

En el caso que nos ocupa, la víctima recibe un correo electrónico con un enlace a un documento alojado en los servidores de Google, donde el atacante ha creado una carpeta dentro de una cuenta Google Drive, marcada como pública, que contiene un archivo cuyo enlace se obtiene gracias a la función "vista previa". Si el atacado pincha sobre él, será conducido a una página de inicio de sesión falsa (alojada en Google Drive), que al usuario de Google le resulta familiar.

Al consignar los datos de acceso se obtendrá realmente a un documento, pero antes un script en PHP se habrá apoderado del nombre de usuario y contraseña sin darnos cuenta, enviando estos datos a la web real del atacante.

Es un engaño muy elaborado, que tiene un peligro añadido: una vez que el atacante tiene acceso a una cuenta, lo tiene a todos los contactos, pudiendo enviar otros ataques que serán aún más efectivos, ya que el remitente forma parte de nuestra lista de confianza. Además podrá utilizar la cuenta para otros propósitos, como comprar en Google Play... Y pobre del que haya enviado correos con datos personales.

¿Como detectar el fraude? Hay una detalle que salta a la vista si nos fijamos bien: la URL de acceso a los servicios de Google comienza por https://accounts.google.com/..., que no está presente cuando carga la página de login falsa.

Según informó Gizmodo ayer, Google ha eliminado las páginas falsas que ha podido detectar, y trabaja para encontrar una fórmula que evite este problema. Mientras hemos de tener cuidado, porque al mismo ritmo que Google las elimina los atacantes pueden crear más.

Si por casualidad has sido víctima reciente de algo similar, cambia la contraseña de tu cuenta ya.

Imagen | Zodman En Genbeta | Usando Google Drive como hosting para páginas web

Ver todos los comentarios en https://www.genbeta.com

VER 11 Comentarios

Portada de Genbeta