El adjunto de Gmail te quiere robar los datos

Si hace poco hablábamos del ransomware Spora, capaz de secuestrar el ordenador y de ofrecer protección ante futuros ataques por unos cuantos bitcoin, hoy le toca el turno a la campaña de phising de Gmail más sofisticada de los últimos tiempos. Han sido los expertos de seguridad de Wordfence quienes dieron el aviso la semana pasada, pero Google no se ha pronunciado hasta este miércoles.

Los atacantes han ideado una campaña simple pero eficaz. El usuario recibe un correo de una cuenta que haya sido infectada en otro ordenador. En el cuerpo del mensaje no pone nada, pero el adjunto se asemeja a un .pdf que en realidad no lo es: se trata de una imagen adjunta que, al pinchar en ella dirige hasta la web de phising, una idéntica a la que solicita el usuario y la contraseña en Gmail.

La única forma de saber que estamos siendo engañados es mirar la barra de dirección. Si la víctima no se da cuenta de que la URL es falsa y no cuenta con protocolo de seguridad alguno (no lleva el https:// delante de la dirección), al introducir sus credenciales estará comprometiendo su cuenta sin querer. Los investigadores de Wordfence dicen que los atacantes “entran en tu cuenta tan pronto envías los datos. Podría estar automatizado o contar con un equipo pendiente”.

Una vez que los hackers han entrado a la cuenta, tienen acceso a todas las bandejas y a las direcciones de contactos. El problema no termina ahí ya que, una vez que saben que la contraseña de tu cuenta de Gmail es “password” o “123456”, la probarán también en el resto de servicios asociados e incluso en Facebook o Twitter.

Ante el phising, buena vista

phisingLos atacantes utilizan una técnica que se conoce como “URL de datos”, en la que se se incluye la dirección de un archivo en la barra de dirección. Sin tocar el código, quedaría una dirección muy larga y eso precisamente es lo que los hackers han conseguido ocultar insertando espacios en blanco. Así que, técnicamente, lo que se abre es un archivo y no una dirección web.

Para evitar caer en el ataque de phising, desde la firma de ciberseguridad recomiendan revisar siempre que no haya nada entre el https:// y la dirección account.google.com. También, activar la verificación de dos pasos de Google.

Por su parte, la empresa de Sergei Brinn y Larry Page ha emitido un comunicado en el que aseguran tener “conocimiento de este hecho” y continuar “reforzando nuestras defensas contra ello”.