La empresa de seguridad Symantec ha detectado un nuevo ataque de
phising, donde el atacante utiliza los servidores de Google como anzuelo con
una fórmula muy convincente, ya que se emplea el servicio Google Drive como
puente para perpetrar la fechoría; URL y conexión https apuntan al dominio
google.com y el certificado SSL es válido, porque es de Google.
La suplantación de identidad (Phishing) es un tipo de ataque muy común,
cuyo objetivo es adquirir información confidencial del atacado (contraseñas,
número de tarjeta de crédito, etc.), mediante un engaño. El atacante se hace
pasar por una entidad o persona en la que confiamos para recabar nuestros
datos. Este tipo de ataque se suele realizar por correo electrónico, servicios
de mensajería e incluso llamadas telefónicas.
El problema para el atacante hasta ahora ha sido el nombre de dominio
empleado para cometer la fechoría. Suelen ser nombres “parecidos”, pero fáciles
de detectar para personas con conocimientos mínimos o con una pizca de
picardía. Este nuevo vector de ataque es más sofisticado, porque el dominio no
es “parecido”, sino auténtico.
En el caso que nos ocupa, la víctima recibe un correo electrónico con
un enlace a un documento alojado en los servidores de Google, donde el atacante
ha creado una carpeta dentro de una cuenta Google Drive, marcada como pública,
que contiene un archivo cuyo enlace se obtiene gracias a la función “vista
previa”. Si el atacado pincha sobre él, será conducido a una página de inicio
de sesión falsa (alojada en Google Drive), que al usuario de Google le resulta
familiar.
Al consignar los datos de acceso se obtendrá realmente a un documento,
pero antes un script en PHP se habrá apoderado del nombre de usuario y
contraseña sin darnos cuenta, enviando estos datos a la web real del atacante.
Es un engaño muy elaborado, que tiene un peligro añadido: una vez que
el atacante tiene acceso a una cuenta, lo tiene a todos los contactos, pudiendo
enviar otros ataques que serán aún más efectivos, ya que el remitente forma
parte de nuestra lista de confianza. Además podrá utilizar la cuenta para otros
propósitos, como comprar en Google Play… Y pobre del que haya enviado correos
con datos personales.
¿Como detectar el fraude? Hay una detalle que salta a la vista si nos
fijamos bien: la URL de acceso a los servicios de Google comienza por
https://accounts.google.com/…, que no está presente cuando carga la página de
login falsa.
Según informó Gizmodo ayer, Google ha eliminado las páginas falsas que
ha podido detectar, y trabaja para encontrar una fórmula que evite este
problema. Mientras hemos de tener cuidado, porque al mismo ritmo que Google las
elimina los atacantes pueden crear más.
Recomendación
- Si por casualidad has sido víctima reciente de algo similar, cambia la contraseña de tu cuenta ya.