(https://i.postimg.cc/J7ZVBMpS/Hacker.png) (https://postimages.org/)
El ingeniero de software Zach Latta, fundador de Hack Club, detalló un ataque inusual en GitHub.
https://github.com/zachlatta
Alguien llamado Chloe llamó a Latta desde el 650-203-0000 con el identificador de llamadas "Google". Como se explica en la página de soporte de Google, Google Assistant usa este número para llamadas automáticas, como para programar reservas o verificar los tiempos de espera en restaurantes.
"Sonaba como una verdadera ingeniera, la conexión era súper clara y tenía acento estadounidense", dijo el desarrollador.
(https://i.postimg.cc/yxDnf5Gz/Cat-calling.jpg) (https://postimages.org/)
Los estafadores que se hicieron pasar por el soporte de Google Workspace advirtieron que bloquearon la cuenta de Latta porque alguien inició sesión desde Frankfurt y obtuvo acceso a ella.
Latta sospechó inmediatamente que se trataba de un intento de estafa. Pidió una confirmación por correo electrónico.
Para su sorpresa, los piratas informáticos respondieron que sí y enviaron un correo electrónico desde un subdominio genuino, g.co, que pertenece a Google. El mensaje de correo electrónico, indistinguible del real, no contenía señales de suplantación de identidad y pasó las pruebas DKIM, SPF y DMARC (protocolos de autenticación de correo electrónico que verifican la suplantación de identidad y los ataques de phishing). Latta compartió todas las pruebas en una publicación.
Según Google, g.co es un acceso directo a URL oficial que es "solo para sitios web de Google".
"Puedes confiar en que siempre te llevará a un producto o servicio de Google", se lee en la página de destino del dominio.
Los estafadores explicaron que la cuenta probablemente se vio comprometida a través de una extensión de Chrome. Tenían cuentas fraudulentas de LinkedIn preparadas como prueba de que trabajaban en Google.
"Chloe" intentó engañar al desarrollador para que escribiera uno de los tres números que aparecieron en su teléfono para "reiniciar la cuenta". En realidad, esta acción habría dado a los estafadores acceso a la cuenta si la hubieran realizado.
El ingeniero de software grabó la conversación posterior cuando estuvo seguro de que se trataba de un intento de phishing.
"Lo que es una locura es que si hubiera seguido las dos 'mejores prácticas' de verificar el número de teléfono + hacer que me envíen un correo electrónico desde un dominio legítimo, me habría visto comprometido", advierte Latta.
Google aún no ha abordado públicamente este problema específico. Cybernews se puso en contacto con Google para obtener comentarios y está esperando su respuesta. Mientras tanto, no está claro cómo los spammers podrían haber obtenido acceso a importantes funciones y subdominios de Google.
Algunos especulan que los atacantes pueden haber obtenido credenciales de la cuenta de Google, que les permiten acceder a funciones parciales, pero requieren eludir la autenticación multifactor para apoderarse de la cuenta y obtener acceso persistente.
Mientras tanto, se recomienda a los usuarios tener cuidado al recibir llamadas o correos electrónicos sospechosos y reportar cualquier actividad sospechosa al equipo de seguridad de Google.
Fuente:
CyberNews
https://cybernews.com/security/hackers-leverage-google-phone-number-subdomains/