Cuidado con ataque de phishing que se camufla usando servidores de Google como anzuelo

La empresa de seguridad Symantec detectó un nuevo ataque de phising (suplantación de identidad), donde los atacantes utilizan los servidores de Google como anzuelo y una fórmula muy convincente, ya que emplean un clon de Google Drive como camuflaje para obtener la contraseña de la víctima, que cae sin sospechas, porque tanto la URL como la conexión https son de google.com y el certificado SSL es válido, porque es de Google!

El Phishing es un ataque muy común, que busca obtener información confidencial de la persona atacada (contraseñas, número de tarjeta de crédito, etc.), mediante un engaño. El atacante se hace pasar por una entidad o persona de nuestra confianza para que le entreguemos nuestros datos. Este tipo de ataque suele llegar por correo electrónico, servicios de mensajería e incluso llamadas telefónicas.

El problema para el atacante hasta ahora ha sido el nombre de dominio empleado para cometer la fechoría. Suelen ser nombres “parecidos”, pero fáciles de detectar para personas con conocimientos mínimos o con una pizca de picardía. Este nuevo vector de ataque es más sofisticado, porque el dominio que utilizan es el de Google.

Enlace Google Docs

El ataque comienza con un correo electrónico a la víctima, con un enlace a un documento alojado en una cuenta gratuita Google Drive, en donde el atacante deja cargado un archivo cuyo enlace se obtiene gracias a la función “vista previa”. Cuando el atacado hace click, será conducido a una página de inicio de sesión falsa (alojada en esa cuenta de Google Drive), pero que al ser un clon de la auténtica de Google, no levanta sospechas.

Y es ahí donde la víctima ingresa su usuario y contraseña y estos son obtenidos por los delincuentes. El formulario igualmente nos muestra un documento para no levantar sospechas, pero sin darnos cuenta, ya le habremos cedido nuestras credenciales al atacante.

Google login

Es un engaño muy refinado y elaborado, y cuyo objetivo no es tanto el robo en particular, sino que al tener acceso a nuestra cuenta y contenidos, también gana acceso a la lista de contactos, pudiendo invitar a nuestros conocidos a ser víctimas del mismo ataque, y que seguramente serán engañados fácilmente ya que nuestra dirección les figura como contacto de confianza. Y por supuesto si habíamos cargado nuestra tarjeta de crédito en Google Play, podrá comprarse muchas cosas bonitas, con nuestro dinero…

¿Como detectar el fraude?

Hay un pequeño detalle que muy pocos pueden notar, y es que la verdadera página de acceso a los servicios de Google comienza por https://accounts.google.com/…, la cual no se observa cuando se carga la página de login falsa.

Google ha eliminado las páginas falsas detectadas y trabaja para encontrar un modo de detectar este tipo de fraudes. Mientras tanto, hay que tener cuidado, porque son miles las páginas fraudulentas y no siempre Google puede detectarlas y eliminarlas todas.

Si sospechas que fuiste víctima reciente de un ataque como este, hay que cambiar inmediatamente la contraseña de tu cuenta de Google.

Una forma extra de determinar si estamos ante una página falsa de login, es que si ingresamos un usuario y contraseña tipeados al azar, que sean incorrectos, las páginas de fraude (sobre todo las de home banking) muchas veces indican que se recibieron los datos pero se excusan con que «el sistema no está disponible» en ese momento, pero nunca dicen que los datos sean incorrectos… cosa que sí nos suelen indicar los sitios legítimos.

Así que hay que prestar mucha atención, los delincuentes de Internet son siempre muy ingeniosos.