¿Gmail te escribe? Esperar a hacer clic, podría ser una estafa nueva y sofisticada configurada para capturar a quienes usan el sistema de correo de Google.
Este ciertamente no es el primer ataque de phishing que llega a Gmail, pero si vale la pena informarlo es porque es Tan bien hecho como para poder engañar a cualquiera. No estamos hablando del correo electrónico habitual con errores de gramática o enlaces claramente sospechosos, sino de una pandilla de delincuentes que usan plantillas prácticamente idénticas para los oficiales de Google y han configurado un sistema que hace que todo sea muy creíble.
Los estafadores no De hecho, usan una cuenta externa, pero explotan directamente los servicios de Google – Como las notificaciones de Google Drive, para enviar mensajes de trampa. El resultado es que los correos electrónicos provienen de un Dominio legítimo de Google, están firmados correctamente y Gmail los considera a salvo.
La trampa dirigida a un desarrollador
Para comprender cuán creíble puede ser esta nueva ola de ataques, vale la pena contar lo que pasó con Nick Johnsonun desarrollador bien conocido en el mundo tecnológico que lanzó la alarma.
En Hilo en xJohnson describió en detalle el phishing que recibió: un correo electrónico aparentemente oficial de Google, firmado [email protected]que le comunicó la existencia de un presunto mandato legal (una «citación») y la solicitud de proporcionar el contenido de su cuenta de Google.
Por lo general, los mensajes como estos se pueden calificar fácilmente como falsos simplemente leyendo por los que llegan. Aquí, sin embargo, el correo electrónico realmente provino de un dominio legítimo de Google y había pasado todas las verificaciones técnicas, incluido el DKIM, que certifica la autenticidad de los mensajes. Gmail, de hecho, lo archivó automáticamente junto con las otras notificaciones de seguridad oficiales. Un comportamiento que también convenció a Johnson que podría ser cierto.
En el mensaje había un enlace para «acceder y proporcionar los datos solicitados». Al hacer clic en él, Johnson se encontró en una página que parecía en todos los aspectos la pantalla de inicio de sesión oficial de Google.
¿Cuál es el riesgo real?
El principal peligro es que el usuario, convencido de que realmente está en una página de Google, inserta sus credenciales de acceso. En ese momento, los estafadores obtienen nombre de usuario y contraseña de su cuenta de Google, con todo lo que esto implica.
Si la cuenta no activa la autenticación de dos factores (2FA), los piratas informáticos pueden acceder directamente al correo, los documentos en la unidad, las fotos, el historial de investigación e incluso los métodos de pago guardados.
Pero también con el 2FA activo, algunos ataques pueden usar la página falsa para interceptar el código temporalo para hacer que el usuario crea que debe insertarlo en un segundo paso, mientras que en realidad es utilizado de inmediato por estafadores en tiempo real.
¿Cómo fue posible?
Según Johnson, los estafadores usan un antiguo servicio de Google llamado Sitios de Googleque todavía permite hoy crear páginas alojadas en un subdominio Google.com. Usando, construyen una pantalla de inicio de sesión falsa que parece auténtica.
De hecho, la URL de origen no fue accounts.google.compero sites.google.com. Esto se debe a que, probablemente, los piratas registran un dominio falso que crean una cuenta de Google conectada y establecen una aplicación Oouth con un nombre engañoso como «Soporte legal de Google». Cuando permiten los permisos a esta aplicación, Google realmente envía uno notificación de seguridad por correo electrónico.
¿Y qué hizo Google?
Al final de su hilo, Nick Johnson dijo que informó el problema a Google. Pero la primera respuesta no fue alentador: su informe de error se cerró con la motivación «Funciona como se esperaba». En resumen, según Google, no era un problema de seguridad real.
Johnson claramente dijo que no estaba de acuerdo, subrayando lo fácil que es para un usuario caer en el engaño con correos electrónicos tan creíbles. Poco después, sin embargo, llegó un punto de inflexión: Google contactó a Johnson, cambió su posición y confirmó que corregirá el problema.
La confirmación oficial también llegó a Newsweekdonde un portavoz de Google explicó que el grupo responsable del ataque se sabe cómo Rockfoilsy que es una campaña específica ya monitoreada por la compañía.
«Somos conscientes de esta clase de ataques específicos del actor de rockfoils y estamos implementando protecciones durante una semana. Estas protecciones se distribuirán por completo en breve y bloquearán esta posibilidad de abuso».
Mientras tanto, Google invita a todos los usuarios a protegerse directamente:
«Invitamos a los usuarios a activar la autenticación de dos factores y PassKey, que ofrecen una protección más efectiva contra este tipo de campañas de phishing».
¿Otros consejos?
Para el resto, los otros consejos que siempre se pueden dar en estas ocasiones siempre se aplican.
- Verifique bien la dirección del remitente: Incluso si el nombre es «Google», el correo electrónico real podría ser cualquier otra cosa. También está atención a los enlaces internos a Google Drive.
- Pase el mouse en los enlaces sin hacer clic: Los mensajes piratas a menudo conducen a direcciones extrañas, tal vez con dominios que no tienen nada que ver con Google.
- Tener cuidado con las urgencias: Si un correo electrónico le dice que tiene que actuar de inmediato o arriesgarse a algo, es un signo de estafa a la llegada.
- No hay inicio de sesión de los enlaces recibidos por correo electrónico: Si tiene dudas, vaya a Google manualmente, abra la unidad o Gmail desde el navegador y verifique si hay notificaciones.
Qué hacer si ha hecho clic (o si sospecha algo)
Si por error hizo clic en uno de estos enlaces y tal vez también insertó la contraseña … no se asuste, pero actúe rápidamente:
- Cambie la contraseña de la cuenta de Google de inmediato.
- Active la autenticación de dos factores (2FA).
- Verifique la actividad reciente de su cuenta desde myaccount.google.com.
- Informe el correo electrónico como un phishing utilizando la función apropiada en Gmail.