Nueva técnica de phishing en Gmail

Un nuevo ataque de phishing efectivo está golpeando los usuarios de Gmail y engañando a muchos a ingresar sus credenciales de Gmail en una página falsa de inicio de sesión.

¿Cómo se desarrolla el ataque?

Los phishers comienzan por comprometer una cuenta de Gmail, entonces el rifle es a través de los mensajes de correo electrónico que el usuario ha recibido recientemente.

Después de encontrar uno con un archivo adjunto, que crean una imagen (pantalla) de él y lo incluye en una respuesta al remitente. Utilizan el mismo o similar línea de asunto para el correo electrónico, para invocar el reconocimiento y la confianza automática.

“Hace clic en la imagen, esperando Gmail para darle una vista previa de los datos adjuntos. En su lugar, una nueva pestaña se abre y se le pide credenciales de Gmail para acceder de nuevo”, advierte CEO WordFence Mark Maunder.

La página de phishing es una buena copia de la página de inicio de sesión de Gmail, y su dirección URL contiene el accounts.google.com subdominio, que es suficiente para engañar a muchos a creer que están en una página legítima Google:

OPIS

“Esta técnica de phishing utiliza algo llamado un URI de datos para incluir un archivo completo en la barra de direcciones del navegador. Al mirar hacia arriba en la barra de direcciones del navegador y ve ‘data: text / html …’ que es en realidad una muy larga cadena de texto”, explicó Maunder.

En resumen, este texto es un archivo que se abre en una nueva pestaña y crea una página de acceso a Gmail falsa completamente funcional, y los que ingresan sus credenciales, se las entregan directamente a los atacantes.

Una vez en posesión de las credenciales, los atacantes acceden a la cuenta de forma rápida. Ellos tienen un equipo listo para hacerlo tan pronto como las credenciales de inicio de sesión se ponen a su disposición, o han automatizado esta parte.

Y una vez que obtienen acceso a una cuenta nueva, la cadena de ataque comienza de nuevo.

¿Por qué es tan eficaz?

De acuerdo con Maunder, el ataque es tan eficaz que incluso algunos usuarios expertos en tecnología han caído o casi caído en la trampa.

Una de las razones es que la gente puede perderse fácilmente que la URL de la página de login falsas “data: text / html” antes de lo habitual “https://…”.

Otra razón es que el navegador no muestra el icono de advertencia de color rojo y por lo general utilizado por Google para señalar páginas inseguras:

OPIS

En este ataque los “data: text / html” y el nombre de host de confianza son del mismo color. Eso sugiere que nuestra percepción de que están relacionados y los “data: text / html” se puede confiar, Maunder explica , y aconseja a Google a cambiar la forma: se muestra “data: text / html” en el navegador.

Los usuarios deben tener cuidado y protegerse a sí mismos mediante el uso de la opción de autenticación de dos factores de Gmail.

Leave a Reply

%d bloggers like this: