Investigadores en seguridad han descubierto una nueva campaña de ataques de phishing que tiene como objetivo los usuarios de Gmail. El falso formulario de acceso empleado para los ataques de phishing está realmente muy conseguido, pudiendo engañar con facilidad incluso a algunos usuarios avispados, algo aumenta las posibilidades de conseguir sus credenciales.
Los atacantes intentan en primer lugar comprometer la cuenta de su víctima, y una vez conseguido, se dedican a hurgar en las bandejas de entrada y salida para poder lanzar otros tipos de ataques a según qué remitentes o destinatarios que podrían ser de interés. Para ello miran en primer lugar los archivos adjuntos y temas relevantes que la víctima ha podido enviar a través de su cuenta de Gmail. El proceso es aprovechado por los criminales para reunir direcciones de emails que se convierten en futuros objetivos de sus ataques. Después de encontrar una dirección de interés, se dedican a hacer una captura de pantalla del archivo adjunto que es incluida en la respuesta al emisor con un asunto igual o similar para dar confianza a la siguiente víctima.
Debido a que el email proviene supuestamente de alguien conocido, el receptor se confía y tiende a abrir los ficheros adjuntos que incluye, que pueden ser por ejemplo una imagen camuflada como un fichero PDF. Una vez que la nueva víctima haya hecho clic sobre algunos de los ficheros adjuntos maliciosos, será redirigida a algunas páginas web de phishing, entre las cuales se encuentra el logrado pero falso formulario de acceso a Gmail.
No solo el aspecto está muy conseguido, sino que además se puede ver en la URL el subdominio accounts.google.com correctamente escrito y también aparece la palabra https, lo que le da aún más credibilidad al ataque de phishing. Tampoco aparece el aviso utilizado por ciertos navegadores para avisar de que un sitio web es peligroso para el usuario, lo que aumenta las posibilidades de engañar a la víctima. Para ello los atacantes utilizan una técnica llamada data URI, que “incluye un fichero completo en la barra de direcciones del navegador. Cuando uno ve en la barra de direcciones ‘data:text/html…..’ es que se trata de una cadena de texto realmente muy larga”, explica Mark Maunder, CEO de WordFence. “En este ataque, ‘data:text/html’ y el hostname confiable son del mismo color. Esto sugiere a nuestra percepción que están relacionados y que la parte de ‘data:text/html’ no importa o que se puede confiar en él.”
Como se puede ver en la imagen de arriba, hay tres barras de direcciones. Las dos primeras contienen la parte data:text/html que hacen referencia a un fichero de texto, acompañada además del icono de fichero a la izquierda de la URL. La tercera barra de direcciones, la de abajo del todo, corresponde a la URL legítima de Gmail y Google Accounts. Esta empieza con la palabra https y viene acompañada de un candado indicando que es una conexión segura, no un fichero. Dicho de otra forma, si veis el icono del fichero y/o data:text/html al inicio de la URL, es que se trata de un ataque de phishing en vez de una página web legítima.
Otra cosa que los usuarios podrían hacer para reforzar su seguridad es activar la autenticación en dos pasos. Esto impediría que los hackers accedan al correo electrónico incluso consiguiendo la dirección y la contraseña. Aun así, en caso de haber sido víctima de un ataque de phishing, se recomienda cambiar la contraseña en cualquier caso y cuanto antes, se tenga o no activada la autenticación en dos pasos.
Fuente:https://muyseguridad.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad