El fundador y desarrollador principal de Ethereum Name Service ha advertido a sus seguidores en X sobre un ataque de phishing “extremadamente sofisticado” que puede hacerse pasar por Google y engañar a los usuarios para que entreguen sus credenciales de inicio de sesión.
El ataque de phishing aprovecha la infraestructura de Google para enviar una alerta falsa a los usuarios, informándoles que sus datos de Google están siendo compartidos con las autoridades debido a una citación, según dijo Nick Johnson de ENS en una publicación en X el 16 de abril.
“Pasa la verificación de la firma DKIM, y Gmail lo muestra sin ninguna advertencia; incluso lo coloca en la misma conversación que otras alertas de seguridad legítimas”, explicó.
Como parte del ataque, a los usuarios se les ofrece la oportunidad de ver los materiales del caso o protestar haciendo clic en un enlace de una página de soporte, que utiliza Google Sites, una herramienta que permite crear un sitio web en un subdominio de Google, según Johnson.
“Desde ahí, presumiblemente, recolectan tus credenciales de inicio de sesión y las usan para comprometer tu cuenta; no he ido más allá para verificarlo”, señaló.
El nombre de dominio de Google da la impresión de que es legítimo, pero Johnson dice que aún hay señales claras de que es un fraude de phishing, como el hecho de que el correo sea reenviado por una dirección de correo privada.
Estafadores explotan los sistemas de Google
En un informe del 11 de abril, la empresa de software EasyDMARC explicó que el fraude de phishing funciona al aprovechar Google Sites.
Cualquier persona con una cuenta de Google puede crear un sitio que parezca legítimo y esté alojado bajo un dominio confiable propiedad de Google.
También utilizan la aplicación Google OAuth, donde el “truco clave es que puedes poner lo que quieras en el campo del nombre de la aplicación en Google”, y usan un dominio a través de Namecheap que les permite “colocar no-reply@google account como dirección de origen y la dirección de respuesta puede ser cualquier cosa”.
“Finalmente, reenvían el mensaje a sus víctimas. Debido a que DKIM solo verifica el mensaje y sus encabezados, y no el sobre, el mensaje pasa la validación de la firma y aparece como un mensaje legítimo en la bandeja de entrada del usuario, incluso en el mismo hilo que las alertas de seguridad legítimas”, dijo Johnson.
Google implementará contramedidas pronto
Hablando con Cointelegraph, un portavoz de Google dijo que están al tanto del problema y están desactivando el mecanismo que los atacantes están usando para insertar el “texto de longitud arbitraria”, lo que evitará que este método de ataque funcione en el futuro.
“Estamos al tanto de esta clase de ataque dirigido por parte del actor de amenazas Rockfoils y hemos estado implementando protecciones durante la última semana. Estas protecciones estarán completamente desplegadas pronto, lo que cerrará esta vía de abuso”, afirmó el portavoz.
“Mientras tanto, animamos a los usuarios a adoptar la autenticación de dos factores y las claves de acceso, que ofrecen una sólida protección contra este tipo de campañas de phishing”.
El portavoz añadió que Google nunca pedirá credenciales privadas de la cuenta, incluyendo contraseñas, contraseñas de un solo uso o notificaciones push, ni llamará a los usuarios.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
Link del artículo original
Si el presente artículo, video o foto intrigue cualquier derecho de autor por favor señálelo al correo del autor o en la caja de comentarios.