Una nueva campaña de Phishing afectó recientemente al servicio Google Collection, herramienta que permite compartir imágenes y videos para compartirlos con otros usuarios.
Los ataques se produjeron debido a que ya solo el nombre Google garantiza legitimidad, pero los ciberdelincuentes aprovechan eso para enmascarar enlaces maliciosos que llevan a webs falsas de criptomonedas.
La empresa Check Point Software investigó sobre los ataques BEC 3.0 e identificó una nueva campaña de phishing con la siguiente estrategia: al compartir una colección en Google Collection, los ciberdelincuentes pueden acceder a la dirección de mail de la víctima, a la que le envían un primer correo electrónico a través del sistema de notificaciones de Google con remitente no-reply@google.com. Si alguna persona sospecha algo, y para disfrazar aún más el fraude, al pasar el cursor sobre la URL se muestra un enlace legítimo de Google, con lo cual al hacer clic se redirige al usuario hasta una página real. El verdadero enlace de phishing se esconde en el adjunto.
Al ir a la página de destino, el usuario cree que está usando los servicios legítimos de Google, porque de hecho le aparece un formulario de cuestionario que pareciera ser de la empresa. Sin embargo, al pie de página se puede leer: “Este contenido no ha sido creado ni respaldado por Google”.
Esto implica que, aunque el recipiente del mensaje no es malicioso, al tratarse de un servicio de uso abierto el contenido de estos formularios sí podría serlo. Un privilegio que los ciberdelincuentes ya están explotando a su favor, incluyendo enlaces a sitios ilegítimos y maliciosos.
De esta manera, si los usuarios llegan al mensaje final tras haber pasado por diversos enlaces legítimos de Google, es más probable que confíen y compartan su información.
Tras su detección, los investigadores de Check Point compartieron con Google los resultados de su investigación para ayudar a encontrar una solución. Una de ellas es que las empresas deben implementar un sistema de ciberseguridad completo, que también pueda escanear documentos y archivos.
No es la primera vez que el gigante se ve afectado de esta manera. Ya en 2017 el
laboratorio de investigación canadiense Citizen Lab había detectado una
maniobra similar de ataques de phishing en una campaña de espionaje y
falsa propaganda masiva en Rusia.
El autor de ese ataque supuestamente fue el grupo Fancy Bear, relacionado con el servicio de inteligencia militar ruso. El grupo realizó un ataque inteligente logrando enmascarar el emisor del email y enlazando el botón de cambiar contraseña a través de un enlace acortado de Tiny.cc y enmascarado a través del servicio Google Amp.
Para el combate contra el ciberdelito, Google cuenta con dos unidades especiales: una de ellas es Project Zero, que se dedica a buscar grandes vulnerabilidades de seguridad no identificadas, y la otra es Threat Analysis Group, destinada a detectar y paralizar ciberataques respaldados por gobiernos no aliados a los Estados Unidos: Corea del Norte, China y Rusia, entre otros.
En 2021 ambas unidades, en un esfuerzo compartido, lograron solucionar
un problema al detectar a un grupo de hackers que explotaba 11
vulnerabilidades de día cero para comprometer los dispositivos que
ejecutan iOS, Android y Windows. Y este año descubrieron que un grupo de
ciberdelincuentes estaba utilizando una extensión compatible con los
navegadores de Google Chrome, Microsoft Edge y Brave para robar
información de correos electrónicos. El programa, denominado “AF”,
estaría centrado en una operación de espionaje a la que podrían ser
vulnerables algunos oficiales de alto rango en diferentes gobiernos del
mundo.
No hay comentarios:
Publicar un comentario