Estafadores se hacen pasar por Google en sofisticada campaña de phishing

Delincuentes están suplantando una dirección oficial de Google para enviar correos fraudulentos altamente convincentes en una astuta campaña de phishing. 

Detectada nueva campaña sofisticada de phishing 

Ha surgido una nueva campaña de phishing que utiliza correos falsos enviados desde una dirección de Google suplantada. La campaña es tan meticulosamente diseñada que los expertos en seguridad temen que muchas personas puedan caer por la aparente legitimidad de los mensajes. 

El ataque consiste en que los actores de amenazas envían correos que parecen provenir de una dirección oficial de Google (por ejemplo, no-reply[@]google[.]com). El cuerpo del correo incluye una supuesta citación judicial urgente solicitando información del destinatario relacionada con su cuenta de Google. 

Firmado, sellado y entregado por Google 

El peligro de esta nueva campaña radica en su nivel de sofisticación técnica. Los atacantes encontraron una forma de suplantar la dirección de Google, evadir los mecanismos de seguridad de correo electrónico, y hacer que el mensaje parezca legítimamente firmado y enviado por Google. 

Y, en cierto modo, lo fue. 

Según Nick Johnson, desarrollador principal del Ethereum Name Service (ENS) y víctima del ataque, Google incluso colocó el correo fraudulento junto a otras alertas legítimas de seguridad. 

Al parecer, los atacantes utilizaron una técnica de phishing conocida como DKIM replay attack, en la que enviaron un correo legítimo generado por Google sin alterar su firma DKIM (DomainKeys Identified Mail). Luego reenviaron el mensaje manteniendo intacta la firma, lo que lo hace invulnerable a los mecanismos de verificación DKIM, y, por tanto, aparentemente auténtico. 

Análisis del mensaje fraudulento 

El cuerpo del correo contenía una citación judicial urgente solicitando el “contenido de la cuenta de Google” del destinatario, un número de referencia y un ID de cuenta de Google. 

Estos elementos, junto con la ausencia de errores gramaticales u otros signos típicos de una estafa, aumentan significativamente el riesgo que representa esta campaña, especialmente para usuarios sin formación en ciberseguridad. 

Un pequeño indicio del fraude 

El correo también incluía una sección titulada “Google Support Case”, donde el atacante insertó un enlace. A primera vista, el enlace parecía legítimo, ya que estaba alojado en un dominio de Google. 

Al acceder al enlace, el destinatario era redirigido a un portal de soporte falso, supuestamente una réplica casi idéntica del servicio oficial. 

Sin embargo, el hecho de que el enlace usara sites-google[.]com generó sospechas, ya que Google no utiliza su plataforma gratuita de creación de sitios web para comunicaciones urgentes. 

Se sospecha que el portal falso era una página de phishing altamente sofisticada, ya que solicitaba nombre de usuario y contraseña a los visitantes. 

Respuesta de Google y medidas correctivas 

Tras descubrir la campaña maliciosa, Johnson envió un informe de errores a Google. Inicialmente, la empresa respondió que el sistema estaba funcionando según lo previsto y se negó a tomar medidas. 

Posteriormente, Google revisó su postura, reconociendo que la falla en OAuth representaba un riesgo para los usuarios, y comenzó a implementar correcciones para abordar la vulnerabilidad. 

Cómo protegerte de estafas de phishing y otras amenazas 

El uso de soluciones especializadas como Bitdefender Ultimate Security puede ayudarte a mantenerte un paso adelante de los ciberdelincuentes, que aprovechan cualquier ángulo para comprometer tu seguridad. 

Incluye protección de correo electrónico y módulos anti-phishing que monitorean constantemente tu bandeja de entrada y te advierten sobre sitios web que se hacen pasar por servicios legítimos para robar tus datos o fondos. 

Sus funciones clave incluyen: 

• Protección de datos en tiempo real contra virus, troyanos, gusanos, exploits de día cero, ransomware, spyware y otras amenazas 
• Prevención de ataques web 
• Detección de comportamiento para aplicaciones activas 
• Detección de estafas impulsada por inteligencia artificial