Una nueva y sofisticada técnica de phishing está siendo utilizada contra los usuarios del popular servicios de email de Google, Gmail. La nueva técnica de la que ya se cuentan numerosas víctimas y que es muy difícil de detectar a simple vista, tiene como objeto sustraer las credenciales de acceso de Google Accounts.
En concreto, la técnica parte de la diseminación de emails a través de listas de correos. El email en cuestión contiene una serie de imágenes adjuntas que requieren al usuario hacer clic sobre ellas para poder visualizarlas. Una vez hacen clic, los usuarios son redirigidos a una web en la que solicitan tus credenciales de Google.
El problema es que todo transcurre en aparente orden, sobre todo porque en la URL de la página que visitan las víctimas se encuentran direcciones propias de los servicios de Google, algo como esto:
¿No debería haber motivo para sospechar que es un engaño o si?. El asunto es que una vez que introduces tus datos de acceso, el hacker se hace con estos y entra, al parecer, inmediatamente a tu cuenta para enviar un email similar al que te llego, a toda tu lista de contactos.
Si bien se desconoce si es un equipo de hackers los que realizan el trabajo o lo hacen con algún script, logran sustraer todos tus emails (enviados y recibidos), contactos, y tratan de hacerse con tus otras cuentas asociadas a Gmail. Como ejemplo, si tienes tu cuenta de PayPal asociada a Gmail, pueden solicitar tu contraseña de regreso, cambiarla y sustraer dinero de tus cuentas.
El ataque está siendo muy efectivo por la forma en que se presenta y porque los emails que se están recibiendo provienen en la mayoría de los casos, de contactos que conoces y tienes en tu lista.
¿Cómo protegerse de esta técnica de Phishing?
Lo primero es desconfiar de todo email que nos llegue a la bandeja y que nos incite a clicar sobre un enlace, más aún que nos solicite ingresar nuestros datos de acceso. Si bien esto podría ocurrir en ciertos casos, como cuando hackean un servicio y nos piden resetear la contraseña, lo correcto es fijarse siempre en la barra de direcciones. Google Chrome, Opera, Firefox incluso Edge marcan las direcciones seguras con un candado. Chrome ha ido un poco mas allá y las muestra así:
Las direcciones son marcadas como seguras siempre que llevan el https al inicio en lugar del http, así que es otro aspecto en el que debemos fijarnos con atención.
Sin embargo si el HTTPS está en el medio de la URL como en este caso de arriba, hay que sospechar y evitar dar nuestros datos de acceso, lo más probable es que sea un ataque de phishing.
Incluso si el HTTPS está al principio de la URL, pero marcado como inseguro como en el caso de arriba, NO deberemos confiar nuestros datos a esa web.
Otra forma de protegerse, ese activar la autenticación de dos pasos de Google, que además de pedir tu contraseña solicita un código único enviado a tu teléfono móvil. Esta se puede activar desde las opciones avanzadas en Gmail.
¿Qué hacer si sospecha o tiene la certeza que ha sido víctima de esta técnica de phishing?
Dado que la técnica sustrae de forma silenciosa nuestros datos de acceso, es poco probable que nos percatamos de la irrupción en nuestras cuentas –a menos que tengamos activada la notificación de acceso a nuestra Google Accounts. Esta funciona en todos los móviles con Android.
Sin embargo es posible verificar si alguien no autorizado ha ingresado en nuestra cuenta verificando la procedencia de IPs registradas en el propio Gmail. Para hacer uso de esta, ingresamos a Gmail, bajamos al pie de página y hacemos clic en la opción “Detalles” ubicada en la esquina inferior derecha. Si observan ingresos no conocidos, pueden forzar a salir a ese usuario para cambiar de inmediato las claves de acceso no solo de Gmail/Google Accounts, sino de todos los servicios asociados a esta cuenta.
Si bien la técnica de phishing aquí descrita está siendo utilizada principalmente para atacar usuarios de Gmail, los usuarios de otras plataformas de email no quedan exentos de sufrir ataques similares. Así que hay que estar advertidos. Los consejos para detectar esta técnicas de phishing aquí descritos son válidos para todo ataque similar.
