Hace algunas horas daba comienzo una
nueva campaña masiva de Phishing en todo el mundo. Esta nueva campaña utilizaba
Google Docs, la plataforma de almacenamiento en la nube y herramienta ofimática
colaborativa de Google, como gancho para engañar a los usuarios.
Detalle del ataque
En esta ocasión, los piratas
informáticos crearon un correo electrónico que imitaba a la perfección a los
correos que nos envía Google cuando compartimos un documento con otras
personas, mensaje con el que se nos invita a colaborar en la edición de dicho
documento.
Cuando la víctima pulsa sobre el
enlace en cuestión, automáticamente se le redirige a una nueva página en la que
debe escoger con qué cuenta entrar en la plataforma de Google Docs y, además,
dar permiso a la cuenta para poder acceder. Entre los permisos que nos pide la
página maliciosa, podemos ver permiso para leer, enviar y borrar mensajes de
correo.
En el siguiente tweet, por ejemplo,
podemos ver cómo funciona el ataque.
@zeynep Just got this
as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
— Zach Latta
(@zachlatta) May 3, 2017
Cuando la víctima da a la plataforma
esos permisos, automáticamente la cuenta pasa a formar parte de la botnet
utilizada para mandar los correos a otras personas, evadiendo incluso los
sistemas de seguridad avanzados de Google como la doble autenticación. Una vez
dentro de la botnet, la cuenta empieza a enviar mensajes similares, de forma
masiva, a nuestros usuarios.
Mientras que el ataque es muy
sofisticado, si nos fijamos en detalle en el mensaje de correo, este tiene
algunas características que nos podrían hacer sospechar, por ejemplo, que el
emisor de estos correos electrónicos es siempre
“hhhhhhhhhhhhhhhh@mailinator.com“, mientras que los destinatarios se encuentran
incluidos todos en CCO.
Tras detener Google el
ataque Phishing. ¿Cómo debo protegerme?
En tan solo una hora, Google consiguió
mitigar el ataque y frenar la campaña maliciosa. A partir de ahora, la botnet
de Google Docs está desactivada, por lo que ya no deberían llegar más mensajes
Phishing a través de ella. Además, por el momento, no se han detectado indicios
que demuestren que las cuentas de los usuarios de Google puedan haberse visto
comprometidas.
Aunque hayamos recibido el correo en
cuestión, si no hemos pulsado sobre el enlace y dado permiso al documento malicioso
para poder controlar nuestra cuenta no tenemos de qué preocuparnos. Si por el
contrario sí que hemos dado permiso, lo único que nos queda por hacer es buscar
nuestra lista de aplicaciones permitidas y eliminar la aplicación maliciosa de
Google Docs.
Google también ha actualizado todo su
motor de Navegación Segura y los filtros de Gmail, así como ha incluido una
serie de medidas de seguridad avanzadas con las que podrá, a partir de ahora,
proteger a los usuarios directamente de posibles nuevos ataques similares.
Fuente: Bleeping Computer