El atacante utiliza los servidores de Google como anzuelo con una fórmula muy convincente, ya que se emplea el servicio Google Drive como puente para perpetrar la fechoría; La URL y conexión https apuntan al dominio google.com y el certificado SSL es válido, porque es de Google.
La suplantación de identidad (Phishing) es un tipo de ataque muy común, cuyo objetivo es adquirir información confidencial del atacado (contraseñas, número de tarjeta de crédito, etc.), mediante un engaño. El atacante se hace pasar por una entidad o persona en la que confiamos para recabar nuestros datos. Este tipo de ataque se suele realizar por correo electrónico, servicios de mensajería e incluso llamadas telefónicas.
El problema para el atacante hasta ahora habia sido el nombre de dominio empleado para cometer la fechoría. Suelen ser nombres "parecidos", pero fáciles de detectar para personas con conocimientos mínimos o con una pizca de picardía. Este nuevo tipo de ataque es más sofisticado, porque el dominio no es "parecido", sino auténtico.
Funciona asi; La víctima recibe un correo electrónico con un enlace a un documento alojado en los servidores de Google, donde el atacante ha creado una carpeta dentro de una cuenta Google Drive, marcada como pública, que contiene un archivo cuyo enlace se obtiene gracias a la función "vista previa". Si el atacado pincha sobre él, será conducido a una página de inicio de sesión falsa (alojada en Google Drive), que al usuario de Google le resultará familiar.
Al ingresar los datos de acceso se accederá realmente a un documento, pero antes un script en PHP se habrá apoderado del nombre de usuario y contraseña , enviando estos datos a la web real del atacante.
Es un engaño muy elaborado, que tiene un peligro añadido: una vez que el atacante tiene acceso a una cuenta, lo tiene a todos los contactos, pudiendo enviar otros ataques que serán aún más efectivos, ya que el remitente forma parte de nuestra lista de confianza. Además podrá utilizar la cuenta para otros propósitos, como comprar en Google Play... Y pobre del que haya enviado correos con datos personales.
¿Como detectar el fraude?
Hay una detalle que salta a la vista si nos fijamos bien: la URL de acceso a los servicios de Google comienzan todos por https://accounts.google.com/..., ese no será el caso cuando carga la página de login falsa.
Google ha eliminado las páginas falsas que ha podido detectar, y trabaja para encontrar una fórmula que evite este problema. Mientras tanto, hemos de tener cuidado, porque al mismo ritmo que Google las elimina los atacantes crean más.
Si por casualidad has sido víctima reciente de algo similar, cambia la contraseña de tu cuenta ya..!
..
