Underc0de

Una nueva y sofisticada campaña de phishing avanzado ha llamado la atención de la comunidad de ciberseguridad al aprovechar una combinación de debilidades en los sistemas de Google, específicamente en el uso de DKIM, OAuth y Google Sites, para engañar a los usuarios con correos aparentemente legítimos.

El ataque, descubierto por Nick Johnson, desarrollador principal de Ethereum Name Service (ENS), emplea una técnica conocida como "phishing de repetición DKIM", que permite a los atacantes enviar correos firmados con el sello DKIM de Google, lo que les ayuda a evadir filtros de spam y parecer auténticos para los destinatarios.

Un correo falso que pasa todas las verificaciones

Todo comenzó cuando Johnson recibió un correo electrónico fraudulento con apariencia legítima. El mensaje, que parecía proceder de la dirección [email protected], notificaba una supuesta citación judicial para obtener acceso a su cuenta. El correo incluso fue categorizado por Gmail junto con otras alertas de seguridad reales, lo que aumentaba su credibilidad.

Lo más alarmante es que el mensaje pasó todas las verificaciones de autenticación, incluyendo DomainKeys Identified Mail (DKIM). Esto significa que, desde la perspectiva del sistema de correo, el mensaje realmente parecía haber sido enviado por Google.

Sin embargo, Johnson detectó algo extraño: el enlace del supuesto "portal de soporte" no dirigía a accounts.google.com, sino a una página en sites.google.com. Aunque sigue siendo un dominio legítimo de Google, este servicio permite a cualquier usuario crear sitios web personalizados, lo que lo convierte en una plataforma atractiva para ataques de phishing alojado en dominios de confianza.

Cómo funciona el ataque de phishing con repetición DKIM

La parte más técnica e ingeniosa del ataque radica en cómo se genera el correo fraudulento que pasa la validación DKIM. Johnson explicó que el atacante:

• Registra un dominio personalizado y crea una cuenta de Google, utilizando una dirección como [email protected].
• Crea una aplicación OAuth en Google Cloud y utiliza como nombre de la app el contenido completo del mensaje de phishing, insertando grandes espacios en blanco para ocultar la notificación de Google al pie del mensaje.
• Concede permisos OAuth a esa cuenta, lo que activa el envío automático de una alerta de seguridad real de Google al correo de la cuenta creada.
• Finalmente, el atacante reenvía ese correo firmado por Google a las víctimas.

Como el correo fue originalmente generado y firmado por Google, la firma DKIM es válida y pasa todas las comprobaciones SPF, DKIM y DMARC. A su vez, al nombrar la cuenta como me@dominio, Gmail presenta el mensaje como si fuera una alerta relacionada con el correo del destinatario.

Encubrimiento perfecto: phishing alojado en Google Sites

El enlace contenido en el correo dirigía a un portal falso que imitaba perfectamente la apariencia del verdadero centro de soporte de Google. A simple vista, la diferencia era mínima: el dominio base era sites.google.com, no accounts.google.com. Esta técnica de phishing dentro de dominios legítimos reduce significativamente las probabilidades de que los usuarios identifiquen el engaño.

Johnson describió la página falsa como "un duplicado exacto del verdadero portal de soporte de Google", lo que refuerza la efectividad del ataque.

Ataques similares en otras plataformas: el caso de PayPal

El mismo tipo de táctica ha sido replicado con éxito en otras plataformas, como PayPal. En marzo, una campaña de phishing aprovechó la función de "dirección de regalo" en las cuentas de PayPal para vincular una nueva dirección de correo con un campo de texto adicional donde se colocaba el mensaje fraudulento.

El sistema de PayPal enviaba automáticamente un correo de confirmación a esa dirección, y el atacante simplemente lo reenviaba a una lista de distribución de víctimas. Al igual que en el caso de Google, el mensaje era firmado por los servidores de correo de PayPal, pasando las verificaciones DKIM.

Respuesta de Google y análisis técnico

Johnson informó del problema a Google a través de su programa de reporte de errores. Inicialmente, la compañía respondió que el sistema "estaba funcionando según lo previsto". No obstante, tras una segunda revisión, Google reconoció la debilidad en el proceso y confirmó que está trabajando para implementar mejoras de seguridad en OAuth para mitigar esta clase de abusos.

La empresa EasyDMARC, especializada en autenticación de correo electrónico, también analizó el caso y publicó una explicación técnica detallada del ataque de phishing con repetición DKIM, validando los hallazgos de Johnson y ofreciendo recomendaciones para protegerse.

¿Por qué este ataque es tan efectivo?

El éxito del ataque radica en el uso de servicios legítimos para fines maliciosos. Al originarse en Google, pasar DKIM y usar sitios bajo dominios oficiales como sites.google.com, los mensajes evaden los filtros de seguridad más comunes y aprovechan la confianza del usuario en marcas reconocidas.

Además, la utilización de elementos como OAuth y la estructura interna de Gmail ayuda a camuflar aún más la estafa, haciendo que incluso usuarios experimentados puedan caer.

Recomendaciones para evitar caer en estos ataques

Para protegerse de esta técnica avanzada de phishing, es importante seguir estas buenas prácticas:

• Verificar siempre la URL completa de cualquier enlace, incluso si proviene de un dominio confiable.
• No confiar únicamente en las verificaciones DKIM o SPF como indicadores de autenticidad.
• Evitar hacer clic en enlaces de correos electrónicos inesperados, incluso si parecen provenir de servicios oficiales.
• Usar extensiones o herramientas de análisis de cabeceras de correo para comprobar el origen real del mensaje.
• Activar la verificación en dos pasos para cuentas sensibles como Gmail y PayPal.

Fuente: https://www.bleepingcomputer.com/