Si recibe un correo electrónico de Google que parece ser una alerta de seguridad legítima, no continúe. Los estafadores están aprovechando las vulnerabilidades en los protocolos de autenticación de Google para enviar mensajes de phishing que parecen lo suficientemente convincentes como para robar las credenciales de cuentas de los usuarios desprevenidos. Aquí le mostramos cómo protegerse.
Cómo funciona esta nueva estafa de phishing de Google
Como informa Android Authority, un desarrollador llamado Nick Johnson fue atacado recientemente por un correo electrónico de phishing con la línea de asunto “Alerta de seguridad”. El mensaje se envió desde sin repetición (AT) cuentas.google.com y firmado por cuentas.google.com, lo que hace que parezca un correo electrónico legítimo directamente desde Google. Sin embargo, el mensaje condujo a una página falsa de soporte de Google alojada en Sites.google.com, que ordenó a los visitantes que “cargaran documentos adicionales” o “ver caso”. Esto finalmente condujo a una página de inicio de sesión falso que solicitó credenciales de cuenta, donde los estafadores recopilarían las credenciales de inicio de sesión de Google del objetivo.
Hay un par de vulnerabilidades que hacen posible esta estafa, según Johnson. Google permite a los usuarios alojar sitios en un subdominio de Google.com a través de los sitios de Google, lo que hace que el sitio web se vea legítimo. Los atacantes registraron un dominio y lo vincularon con una cuenta de Google, luego crearon una aplicación Google Oauth con el correo electrónico de phishing como nombre de la aplicación. Una vez que OAuth tuvo acceso a la cuenta de Google, fue firmado por Google y enviado a las víctimas. Tenga en cuenta que, si bien el correo electrónico fue firmado por cuentas.google.com, fue enviado por correo por un correo electrónico originario de privateMail.com.
Este no es el primer esquema de phishing que proviene de una dirección de correo electrónico aparentemente legítima, lo que hace que sea más complicado para los usuarios que lo considere falso. A principios de este año, los estafadores explotaron la configuración de PayPal para enviar notificaciones de compras fraudulentas del servicio (AT) PayPal.com.
¿Qué piensas hasta ahora? Publica un comentario.
Cómo identificar y evitar las estafas de correo electrónico de phishing
Los correos electrónicos de phishing pueden ser más difíciles de atrapar cuando se originan en una dirección de correo electrónico real o reconocible, al menos en la superficie, ya que las direcciones falsas con ortografía son el primer sorteo de una estafa. En términos generales, debe pensarlo dos veces antes de comprometerse con cualquier mensaje que tenga un tono de urgencia o evoca una respuesta emocional incluso si parece real.
Si recibe un correo electrónico como este de una empresa que conoce y cuyos servicios usan y el mensaje parece legítimo, no haga clic en ningún enlace ni descargue ningún archivo adjunto. Vaya directamente al sitio web de la compañía escribiendo la URL y consulte las cuentas oficiales de las redes sociales o los canales de servicio al cliente para cualquier alerta relacionada con el mensaje que recibió, especialmente si el correo electrónico tiene que ver con la seguridad o la recuperación de la cuenta o su información personal.
