Phishing Ingenioso a través de Google Docs

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Autopsia del sencillo e ingenioso ataque

Los pasos que siguió el ciberdelincuente fueron los siguientes:

1)   Crear una cuenta de Google. No es importante la dirección en sí. Lo importante es utilizar el nombre y apellido de la persona que se desea suplantar, por ejemplo el CEO de una organización. También se puede colocar luego una foto de perfil de la persona, la cual se puede conseguir en cualquier red social sin mayores problemas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

2) Crear un documento de Google Docs y dejar allí el texto del engaño de Phishing.

3) Dejar un comentario en el documento arrobando a la víctima.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

4) Esperar que la víctima ingrese al enlace malicioso proporcionado.

¡Así de fácil!

Delivery garantizado en bandeja de entrada

La víctima, recibirá un correo con el comentario de Google Docs, de manera similar a la siguiente captura:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este correo, es altamente probable que ingrese directamente a la bandeja de entrada del usuario. Está enviado desde los servidores de Google, firmado por Google, con todas las medidas de seguridad tomadas por Google en perfecto estado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Suplantación de identidad

Como podemos ver en la captura anterior, no se muestra en ningún lugar el correo electrónico del remitente, únicamente su nombre, apellido y foto de perfil, totalmente editables en una cuenta de Google.

Además, es posible colocar el asunto que se desee ya que es tomado desde el título del documento.

De hecho, ni siquiera es necesario que la víctima ingrese al documento por ningún motivo, ya que todo el contenido de interés ya se encuentra en el email recibido.

¿Quién detecta esto?

Como podemos imaginar, el dominio de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no caerá en listas negras como Google Safe Browsing para que nuestros usuarios puedan estar protegidos.

Lo máximo que puede hacer Google es bloquear el ingreso al documento que contenía el engaño:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero esto no sirve de mucho, ya que el email sigue estando en bandeja de entrada con el contenido original intacto.

Probablemente, tampoco sea práctico bloquearlo dentro de nuestra organización, y de todas maneras por fuera de la organización los usuarios podrían recibir igualmente el engaño.

Como vimos, todos los registros SPF, DKIM y DMARC se encuentran perfectamente configurados, por lo cual los clientes de correo no lo van a bloquear. Tampoco los sistemas Anti SPAM o similares.

En mi opinión, la mejor arma contra este tipo de casos es la concientización. Un usuario concientizado respecto a este tipo de ataques, estará atento y podrá detectarlos, reportarlos y prevenir convertirse en víctima de los ciberdelincuentes.

¿Recibiste un correo con estas características?
Repórtelo en:     
Antiphishing.la
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
Smartfense
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta