Cuidado con el hackeo de cuentas Gmail mediante phishing

Investigadores de Citizen Lab han descubierto esquemas de hacking sofisticados para hackear cuentas Gmail. Están siendo utilizados en países como Irán contra los disidentes y también ha sido encontrado contra un director de la Electronic Frontier Foundation, aunque podría usarse en cualquier campaña.

El cliente de correo electrónico web de Google fue de los primeros en añadir técnicas como la doble autenticación (autenticación de dos factores o verificación en dos pasos). Un método que mejora la seguridad de Gmail ya que requiere un segundo código de acceso (enviado normalmente por SMS al móvil del usuario) para complementar las inseguras contraseñas.

Un método muy seguro sobre el papel pero que puede sobrepasarse. En una de las técnicas los atacantes envían mensajes de texto a las víctimas. El mensaje parece provenir de Google, advirtiendo a los usuarios de un intento no autorizado de acceder a sus cuentas de Gmail. Tras el mensaje llega un correo electrónico cuidadosamente elaborada -también disfrazado de ser de Google- que redirige las víctimas a una página falsa para "restablecer la contraseña".
Si el usuario accede, los atacantes en tiempo real utilizan la contraseña para iniciar sesión en la cuenta de la víctima y activar el envío de un código de seguridad. Esperan a que la víctima introduzca el código y luego lo usan para tomar el control de la cuenta Gmail de la víctima.
También se han detectado ataques vía llamada telefónica. La víctima recibe una llamada con una propuesta comercial falsa, un premio, oferta o empleo. A continuación, la propuesta se envía a la cuenta de Gmail de la víctima con un enlace falso Google Drive que solicita iniciar sesión con las credenciales de Google, así como el código de identificación de dos factores, al igual que en el caso de los mensajes de texto.
Técnicas de phishing aprovechando el eslabón más débil de la cadena que no es otro que los propios usuarios y en las que seguimos cayendo irremediablemente. El Phishing es un ataque informático que utiliza ingeniera social para engañar al internauta suplantando la identidad de una web o servicio real para conseguir información confidencial del usuario, personal y especialmente financiera. Y tiene un éxito asombroso. Un estudio de Google en colaboración con la Universidad de California encontró que las mejores técnicas tienen un éxito que alcanza el 45 por ciento.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta