Nueva estafa para perder tu Gmail en minutos

ESTADOS UNIDOS.- Si usas Gmail a diario, ten cuidado: una nueva estafa está engañando a los sistemas de Google para tratar de robar tus credenciales de inicio de sesión. La campaña maliciosa saca provecho de un mecanismo a través del cual las víctimas reciben un correo electrónico de Google que parece oficial, pero que en realidad se ha manipulado para redirigirlas a una web especialmente montada para captar su e-mail y contraseña.

Según reporta BleepingComputer, los responsables de esta campaña han sido lo suficientemente habilidosos como para generar un mensaje fraudulento que parece provenir de no-reply@accounts.google.com, la dirección que usan los de Mountain View para enviar notificaciones verídicas a los usuarios.

En los casos que se han reportado hasta el momento, quienes han recibido el mensaje en cuestión se han topado con un contenido algo extraño. Específicamente, una alerta por una supuesta citación judicial sobre algún tipo de contenido almacenado en su cuenta de Google. Por ello, indican a las personas que deben ingresar a un sitio web falso que simula ser una página de soporte para iniciar sesión con su usuario y contraseña de Gmail.

Al tratar de loguearse, la información de las cuentas de Gmail queda en manos de los actores maliciosos. De modo que luego pueden iniciar sesión y cambiar la contraseña para asumir el control de las mismas y de todo su contenido, robándoselas a sus legítimos dueños.

Si bien puede parecer una campaña más de robo y suplantación de identidad en línea, para las cuales existen un sinfín de métodos y motivaciones, esta presenta un condimento adicional. Los piratas informáticos detrás del ataque han logrado engañar a Google y al mecanismo DKIM (DomainKeys Identified Mail), que se encarga de firmar y validar la autenticidad de los correos electrónicos en Gmail y plataformas similares.

El primer paso de los atacantes fue registrar una dirección de e-mail en formato me@ejemplo. Luego, crearon una aplicación de Google OAuth y usaron el contenido del mensaje malicioso como el nombre de esta. Así, al conectarla con su cuenta de Google Workspace, el sistema les envió una advertencia de seguridad a su propio Gmail sobre ese intento de vinculación.

Una vez lograron que Google les enviara una advertencia legítima, pero adaptada especialmente a su intento de estafa, comenzaron a reenviarla a todas sus potenciales víctimas (seguramente en forma de copia de carbono oculta). Como el campo “De” indicaba no-reply@accounts.google.com, y el campo “Para” iniciaba con “me” (mi, en inglés), los atacantes podían confundir a los usuarios de Gmail de un modo inesperado.

El cuerpo del mensaje falso tenía un formato bastante extraño debido a que se extraía del nombre de la app de Google OAuth. De hecho, los enlaces no estaban hipervinculados, sino en formato de texto plano para copiar y pegar en el navegador. Aun así, al tratarse de un mensaje firmado y validado por Google, abría la puerta a engañar a aquellos usuarios no demasiado amigos de la tecnología.

El correo engañoso redirigía a una página creada con Google Sites, con la cual los piratas falsificaban la web de soporte de Google e incluían una pantalla de inicio de sesión de Gmail bastante convincente. Con esta combinación, entonces, podían robar los datos de personas desprevenidas.

Google ya trabaja en una solución a la citada vulnerabilidad de OAuth para evitar que casos de este tipo se expandan. Vale mencionar que no solo Gmail se ha visto impactado por una campaña maliciosa de este tipo, ya que PayPal también ha sufrido un problema muy similar.

Es evidente que revisar la procedencia de un e-mail ya no es suficiente para protegerse del phishing o el malware. Así que, ya sea que uses Gmail u otros servicios de correo, mantente alerta y no inicies sesión en plataformas presuntamente oficiales cuya URL no sea accounts.google.com.