Los ataques Phishing diversifican: Ojo a tu cuenta Google!

  • Por
Los atacantes phishing amplían el espectro de robos de cuentas, como en este caso de intento fraudulento de acceder a nuestra cuenta Google, simulando ser el servicio Drive.
02/12/2013 - El fraude por phishing no es algo nuevo, llevamos años padeciendo esta situación y lo cierto es que la tendencia está todavía en aumento, no solo por la cantidad de correos con intento de fraude que recibimos, sino también por la variedad de los mismos.

Si no sabes lo que es Phishing seguramente es porque desconozcas el término en Inglés, pero no porque no lo hayas padecido. Simplemente es el intento de robarte una clave de un servicio crítico, típicamente el acceso a la banca online, a través de la simulación de estar en la página del banco, cuando realmente estás en la página de un atacante. Puedes encontrar más información general sobre este tipo de ataque en el artículo El peligro del phishing y su evolución.

Escribo este post porque me acaba de llegar un ataque con un objetivo diferente, que no había recibido hasta ahora. El correo me llega con el asunto "Hora de Salida Confidencial Adjunto Doc."

Es un origen de un fraude y no es que sea tan novedoso que nos intenten engañar, sino del patrón y el lugar donde se deciden a atacar.

Habitualmente este tipo de ataques, conocido por Phishing, intenta robarnos la contraseña del banco... y bueno, ya estamos todos un poco precavidos para no meter las claves del banco en cualquier lugar. Lo que destaco es que nos intenta robar la clave de nuestro correo electrónico Gmail y la cuenta Google en general, con acceso a todos los servicios de la compañía del buscador. Y es bastante obvio que una vez tienen tu correo pueden tirar del hilo para robar muchas más cosas, consiguiendo otras claves de servicios y suplantando nuestra identidad.

El gancho suele ser un correo enviado desde el mail de una persona a la que previamente le han robado el acceso, ya sea a través de un phisinhg similar o porque esta persona tenga un virus o gusano, en un ordenador o dispositivo móvil infectado. Ojo, puede que esa persona hasta os resulte conocida y hayáis intercambiado correo en el pasado con ella, pero no por ese motivo significa que debemos confiar.

Sin entrar en el link que hay en el correo del fraude, uno ya puede darse cuenta de su dañina intención porque:

  • El mensaje tiene un lenguaje ambiguo
  • Me trata con familiaridad pero no me menciona personalmente
  • No estoy esperando nada de esta persona
  • No menciona el tema del documento que me anima a ver
  • Incita a usar una clave
  • Etc.
Otro motivo es que me podría haber adjuntado el archivo que menciona o darme un link público para verlo. Pero aun así, con un correo tan ambiguo como este, por muchos adjuntos que me mande y mucha curiosidad que tenga, no se me ocurriría abrir nada.

Luego, si analizamos la URL del enlace que viene en el mensaje y que nos pide pulsar, veremos que merece mucha confianza. Nos dice que nos está mandando un documento de Google (alojado en Google Drive) pero la dirección donde apunta está en otro dominio diferente.

"hola mathlimited .com/ [...] Googledoc /index.html" (le he puesto varios espacios y sustituido caracteres deliberadamente, para que esto no parezca un link a un ataque phishing)

No tiene mucha nada relacionado con Google Drive. Este motivo es definitivo para no pulsar el enlace. Me arriesgaría a afirmar que es un dominio que previamente han "secuestrado" los creadores de este fraude.

Pero bueno, por echar un vistazo, en una ventana de navegador en modo incógnito y desde un entorno Linux protegido, llegué a entrar en la página que estaba enlazada para ver y poder mostraros lo que había. Efectivamente, intentan simular que es un servicio de Google Drive y nos invitan a escribir nuestro correo y la contraseña. Obvio que no lo vamos a hacer. Pero la verdad es que la imitación es un poco burda. Os adjunto una imagen.

En definitiva, tener cuidado donde ponéis las claves de todo. Siempre hay que mirar que estemos donde creemos estar, antes de dar una clave nuestra y el correo es tan importante como la página del banco, porque a partir de él nos pueden robar dominios, claves de cualquier servicio que tengamos asociadas a este correo, la identidad, etc.