Fotomontaje con el logo de Google. Omicrono
Cuidado si recibes un email de Google o PayPal: alertan de estafas masivas que usan un sofisticado método de phishing
Este sistema abusa de algunos de los métodos de seguridad de ambas compañías para lanzar campañas de correos tremendamente parecidos a los originales.
Más información: Cuidado con tu móvil Android o iPhone: este peligroso malware lee tus capturas de pantalla para robar criptomonedas
En los últimos años se han popularizado enormemente los ataques phishing que suplantan la identidad de numerosas compañías ubicadas en España y su sector tecnológico. La Dirección General de Tráfico (DGT) ha sido una de las últimas afectadas, con una campaña de SMS falsos que intentaban robar dinero a sus víctimas, sin ir más lejos. Unos atacantes han hecho uso de un sistema muy sofisticado para enviar correos electrónicos falsos increíblemente parecidos a los que firmas como Google o PayPal envían de forma oficial a sus usuarios.
Así lo revela Bleeping Computer, citando un método que permite a estos atacantes enviar correos electrónicos falsos aprovechando una vulnerabilidad en los sistemas de verificación de estas empresas, redirigiendo a las posibles víctimas a ventanas de inicio de sesión falsas para robar credenciales. En este sentido, los atacantes han aprovechado la infraestructura de dominios Sites de Google, haciéndose pasar por los servicios de soporte de Google.
Esto ha sido descubierto por Nick Johnson, desarrollador principal del Ethereum Name Service (ENS), un sistema de dominios descentralizado ubicado en la famosa blockchain y que relató su caso. Fue precisamente el recibir uno de estos correos lo que alertó al experto, ya que en su bandeja de entrada apareció un e-mail que imitaba casi a la perfección al de Google. Algo similar se está haciendo con los sistemas de PayPal, relata 9to5Mac.
Correos de autenticación falsos
Cuando un usuario se vale de los servicios de soporte de Google o PayPal, estas empresas mandan correos dando detalles de estos casos, con los números de tickets y la información tratada hasta ese momento. Algo muy similar ocurre con las llamadas alertas de seguridad, que informan a los usuarios sobre cambios de contraseña y cuestiones de esta índole. El correo recibido por Johnson era precisamente uno de ellos.
Casi todo en el correo, incluyendo la dirección, parecía legítimo y verdadero. Lo que alertó a Johnson era el dominio usado en el portal del soporte, que era sites.google.com. Esta es la plataforma de creación de sitios web de Google gratuita, lo que hizo arquear una ceja al desarrollador, ya que el dominio real es el de "accounts.google.com". No obstante, este es uno de los mayores problemas de estos correos; al incluir a Google en este dominio, un usuario poco ducho en materia puede entender que efectivamente se trata de un correo auténtico cuando no lo es.
Correo falso y las direcciones que se usan para enviarlo. Omicrono
El portal en cuestión era una réplica casi exacta de la página de soporte real de Google. De nuevo, el portal da la pista ya que en vez de ser "sites.google.com" debería ser "accounts.google.com". La página por otro lado es prácticamente idéntica, pidiendo al usuario que vuelva a iniciar sesión con su cuenta de Google para solucionar una supuesta cuestión legal.
¿Cómo ha podido pasar este correo los servicios de verificación de Google? La clave está en las verificaciones DKIM, un sistema que los atacantes habrían sobrepasado con un sistema relativamente básico pero muy eficaz. Cabe resaltar que el correo está firmado por Google, y está enviado desde la dirección no-reply@google.com, indicativo que ha superado esta barrera DKIM, lo que evita que Gmail muestre advertencias asociadas. De hecho, el correo aparece en las mismas bandejas que otras alertas de seguridad similares.
El Androide Libre
Johnson cita hasta dos vulnerabilidades muy concretas e ingeniosas. La primera tiene que ver con el dominio "sites.google.com", un tipo de plataforma que permite a los usuarios alojar contenido en subdominios de Google. Estos dominios admiten scripts e incrustaciones arbitrarias. "Esto simplifica la creación de un sitio de recolección de credenciales; simplemente deben estar preparados para subir nuevas versiones [del dominio] antes de que los equipos de Google eliminen las antiguas".
La segunda tiene que ver con el correo electrónico. Si bien estaba firmado por "account.google.com, el correo fue entregado por un email privado y enviado con una dirección muy concreta, que empieza por "me@google". Primero, el atacante registra un dominio y crea una cuenta con el formato "me@dominio"; todo radica en el "me" en el nombre del usuario.
Lo siguiente es crear una aplicación OAuth de Google, usando como nombre todo el mensaje falso. El mensaje en cuestión cuenta con muchísimos espacios en blanco, que hacen ver al usuario que el mensaje acaba cuando en verdad arrastran hacia abajo la notificación de Google sobre el acceso a la dirección de correo del atacante. Bajando abajo del todo, podemos ver el siguiente mensaje: "El soporte legal de Google obtuvo acceso a su cuenta de Google", junto a la dirección de correo usada para enviar el e-mail.
A la hora de ponerle nombre a la app OAuth de Google, el atacante pone todo el texto completo del mensaje y los espacios para realizar los saltos de línea, junto al mensaje "Asistencia Legal de Google". Una vez el atacante da acceso a Google a esta app OAuth, se genera el mensaje de "Alerta de seguridad", enviado a la dirección de correo "me@dominio". Dado que Google ha generado este correo, la clave DKIM es válida y supera todos los cortafuegos.
El truco con los espacios en blanco. Omicrono
Así, al atacante solo le queda reenviar este mensaje y esperar que estos piquen. La cuestión es que las claves DKIM solo verifican el mensaje y los encabezados, y no el resto del mensaje, haciendo que a ojos de la bandeja de entrada del usuario, el correo parezca veraz. Tanto es así que al ser un correo válido de Google, este acaba por situarse en los hilos de las alertas de seguridad de Google que el usuario haya almacenado.
Respecto a PayPal, se estaría usando un sistema similar, haciendo pasar correos falsos por reales consiguiendo que estos se envíen desde direcciones de PayPal genuinamente verdaderas. Lo más preocupante de estos mensajes es que lejos de ser burdas copias de los originales de Google y PayPal, son réplicas casi exactas, que solo podrían pasar el filtro de un ojo experto acostumbrado a estas cuestiones.
Se desconoce la autoría del atacante o atacantes que han llevado a cabo esta campaña de correos, y tampoco ha trascendido realmente la motivación de los mismos. Queda claro que el sitio falso de soporte busca robar credenciales para robar cuentas de Google y PayPal ajenas. El desarrollador de ENS, en su hilo de Thread Reader App, pide a Google que desactiven los scripts y las incrustaciones arbitrarias en Sites, considerándolo un "vector de phishing demasiado potente".
