Nueva campaña de phishing de Gmail díficil de detectar
La tendencia actual con el correo electrónico es almacenar todo tipo de información personal a modo de cajón desastre, esto los convierte en uno de los objetivos más interesantes para los piratas informáticos, junto a los servicios de banca online y las redes sociales. En la actualidad, Gmail es el cliente de correo electrónico más utilizado en todo el mundo y, debido a esto, también es la plataforma más utilizada por los piratas informáticos para llevar a cabo multitud de estafas.
Varios expertos de seguridad informática han detectado en las últimas semanas como ha aumentado la actividad de una nueva campaña de phishing que buscar engañar a los usuarios de Gmail para que envíen sus datos y que de esta manera tengan acceso a todos sus correos y a toda su información almacenada en los mismos.
Normalmente, este tipo de campañas son fáciles de identificar ya que los piratas informáticos no se preocupan demasiado en ocultar las pruebas de sus estafas, por ejemplo, imitando la apariencia o simulando un certificado HTTPS, por lo que, aunque la mayoría de los usuarios poco expertos pueden picas, aquellos que poseen conocimientos básicos sobre seguridad informática son capaces de detectarla nada más verla. Sin embargo, hace poco, se ha detectado un nuevo ataque phishing de Gmail que, probablemente, sea el más complejo y profesional visto hasta ahora.
A grandes rasgos, ese ataque en concreto se basa en analizar el historial de la víctima (por medio de un spyware, por ejemplo) para encontrar los nombres de los archivos adjuntos que ha mandado a través del correo electrónico, así como el tema de los mismos para ser más convincente. Una vez da con ellos, genera nuevos correos electrónicos que envía al usuario y que simulan tener archivos PDF adjuntos pero que, en realidad, son imágenes incrustadas que envían a la víctima a páginas web maliciosas controladas por los piratas informáticos.
¿Cómo podemos detectar este ataque?
Este complejo ataque de phishing de Gmail es totalmente convincente salvo por un detalle. Cuando el usuario pulsa sobre los enlaces anteriores pensando que descargará los archivos adjuntos, este es reenviado a una página de inicio de sesión igual que la de Gmail donde se le pide de nuevo introducir la dirección de correo y su correspondiente contraseña.
Los usuarios con conocimientos de seguridad informática lo primero que harán será mirar la URL de la página web a donde nos dirigen y verán cómo esta es «accounts.google.com«, una dirección de la web oficial y, además, con su certificado SSL. Sin embargo, si seguimos observando esta dirección web podremos ver cómo, en realidad, no estamos intentando conectarnos a los servidores de Google, sino que estamos ejecutando un script JS que esta simulando estar en la web de Google pero que en realidad se está encargando de recopilar los datos de sesión de la víctima y enviarlos a un servidor controlado por ellos.
¿Cómo podemos protegernos de este complejo ataque?
Como ya hemos dicho, el ataque es muy complejo e inteligente, aunque tiene un punto débil incluso si no llegamos a ver el script cargado en la barra de direcciones. Para evitar caer en esta, y en otras estafas similares, lo mejor es comprobar siempre la URL y ver que no hay nada a la izquierda del HTTPS.
En el caso que nos atañe, por ejemplo, la URL empieza por «data:text/html«, antes de llegar al HTTPS, lo que nos indica que no es una dirección normal y es una pista de que estamos en una página web maliciosa, al igual que el script que carga el navegador, y por lo tanto no es fiable.
En general, cada vez los ataque informáticos están siendo más complejos y difíciles de detectar, por lo que es normal que también ocurra con el phishing, por lo que debemos prestar más atención para evitar caer en las garras de los piratas informáticos que, cada vez más, frecuentan la red.