Ataques de Phishing a Gmail utilizan falsos adjuntos para robar contraseñas

Expertos de seguridad informática han descubierto un nuevo ataque de Phishing dirigido contra la popular web de correo Gmail, de Google. Este ataque de ingeniería social no sólo engañaría al inexperto, sino que está pensado para colarle un gol también al ojo entrenado.

Se utilizan URLs -direcciones web- especialmente diseñadas para engañar a la víctima y que «entregue voluntariamente» sus credenciales en una página que se parece por completo a la del proveedor de email.

Así funciona este ataque Phishing en Gmail

Los mensajes maliciosos se envían desde un contacto de la lista de Gmail, previamente infectado, y pretenden llevar consigo un archivo adjunto (PDF) que puede ser previsualizado directamente desde Gmail. Lo que ocurre es que no hay tal adjunto, sino que es una redirección a una web destinada a recabar datos del usuario –phishing-.

La URL a la que se apunta desde la imagen del adjunto está diseñada para que parezca ser legítima:

data:text/html,https://accounts/google.com,

El navegador no muestra ningún aviso referente al certificado, y los expertos comentan que la parte aparentemente legítima de la URL está seguida de espacios en blanco, lo que impide a las víctimas ver cadenas sospechosas, además de un script ofuscado que abre la página de Gmail falso en una nueva pestaña.

En Github han publicado una descripción técnica de este tipo de ataque en la combinación Chrome y Gmail.

Haces click en la imagen, esperando que Gmail te muestre una previsualización del adjunto. En su lugar, se abre una nueva pestaña y se te pide que inicies sesión de nuevo. Si te fijas en la barra de direcciones ves accounts.goole.com. […] una vez que has introducido tus credenciales de inicio de sesión, perdiste el control de la cuenta.

Así lo explican los expertos de Wordfence. Y no es algo nuevo, ya que este pasado verano se vieron ciberataques similares contra Gmail. Lo que se ha visto es que cuando los delincuentes se hacen con una cuenta, no pierden el tiempo y envían enseguida emails con Phishing también a las listas de contactos. ¿Habrán encontrado una forma de automatizar el proceso? No se sabe, pero es posible y lógico.

Autenticación en dos factores, más necesaria que nunca

Permitidme recordaros que, en estos casos, no tendréis peligro alguno si adoptáis la autenticación en 2 pasos o factores de Gmail y otros proveedores de correo, servicios, compras…así que es prudente configurarlo cuanto antes.

Pero cuidado, nunca hagáis esto si habéis visto síntomas de que vuestra cuenta puede estar comprometida -por ejemplo notificaciones de actividad sospechosa de Google, inicios de sesión no reconocidos, etc- ya que de ser así el atacante también podría enmascarar la página de configuración de 2FA (2 factor auth) y tener el control total.

Incluso así, recordemos que ni siquiera los códigos SMS serían 100% seguros, siendo la única forma realmente segura de proteger tu correo Gmail la de comprar y añadir una llave de inicio de sesión segura, como Yubikey o alguna de las diferentes alternativas existentes. Aprende aquí a configurar una llave U2F para conseguir la máxima seguridad en Gmail.

Otros recursos recomendados para combatir el phishing:

• Unshortenit: permite desenmascarar un gran número de enlaces acortados y ver a dónde llevan.
• 2factorauth.com: web que informa de qué servicios y sitios web ofrecen autentificación en dos pasos