Los atacantes usan sistemas cada vez más sofisticados para intentar engañar a los usuarios y obtener sus datos para estafas. Un reporte reciente revela que hasta las grandes empresas de Internet como Google y PayPal pueden ser burladas, complicando a los usuarios.
Un ataque de phishing consiste en un email enviado por un atacante, en el que intenta engañar al usuario para que haga clic en enlaces fraudulentos, descarguen malware o entreguen información sensible que puede ser usada para acceder a sistemas restingidos o robar dinero.
Una de las técnicas utilizadas por los atacantes es crear una sensación de urgencia hacia los usuarios, por ejemplo con falsas alertas de seguridad que requieren acción inmediata, para no darle tiempo de revisar si el correo es legítimo o no.
Un método de ataque convincente
Los sistemas de correo toman una serie de medidas técnicas para intentar validar que los correos provienen de quien dice ser, y así bloquear potenciales ataques de phishing. El objetivo es evitar que un estafador se haga pasar por una empresa legítima, ya que es más probable que la víctima haga clic en los correos pensando que proviene de una entidad conocida. Esto último es lo que fue vulnerado en un reciente nuevo tipo de ataque, en el que atacantes usaron un novedoso método para impersonar a Google y PayPal.
Nick Johnson, un experimentado desarrollador en Ethereum Name Service (ENS), recibió lo que parecía una alerta de seguridad proveniente de Google informándole sobre una orden judicial que solicitaba acceso a los contenidos de su cuenta de Google. Casi todo en el correo parecía legítimo, e incluso Gmail agrupó el email con otras alertas de seguridad reales.
El atacante creó una página de login falsa alojada en sites.google.com, lo que alertó a Johnson de que se trataba de algo sospechoso. El servicio sites.google.com permite a cualquiera crear un sitio web, pero un usuario inexperto podría confiarse debido a que está dentro de google.com.
Lo más preocupante fue que el correo aprobó todos los controles automáticos. Para lograrlo, el atacante usó un truco para que Google le enviara un correo real, que luego reenvió con el contenido falso. El mensaje fraudulento parecía provenir de "no-reply@google.com" y pasó los chequeos de DKIM, pero el enviador real era una casilla diferente.
"Como Google sí había generado el mensaje original, estaba firmado con un DKIM válido y pasó todos los chequeos", explicó Johnson. El atacante tomaba el correo legítimo proveniente de Google y hacía un reenvío del mismo a las víctimas, modificando el contenido del mensaje. Así, el mensaje fraudulento aprobaba las validaciones y aparecía como un mensaje legítimo en las bandejas de entrada. Para que el truco funcionara, el atacante además usaba una casilla con el nombre "me@" y un dominio que aparentaba un sistema automatizado. Al usar "me" como prefijo, Gmail mostraba el mensaje como si hubiese llegado directamente al usuario, en lugar de tratarse de un reenvío.
Un truco similar fue intentado también en marzo con PayPal, reutilizando mensajes legítimos de la compañía para enviar contenido fraudulento aprobando los chequeos de seguridad DKIM.
Google indicó a Bleeping Computer que está trabajando en una solución para evitar el uso de este método en el futuro, pero se mantiene operativo por el momento.
Cómo protegerse
Es importante tratar con cuidado los enlaces que llegan a través de email. Ante la sospecha, preferir escribir el link en el navegador para ingresar a los sistemas.
También se recomienda mirar con detención aquellos correos que impliquen urgencia, como alertas de seguridad, facturas fraudulentas, reclamos por impuestos o pagos urgentes, entre otros, y tomarse algunos minutos para revisar y validar antes de entregar alguna información.
En el caso de empresas, invertir en sistemas de seguridad adicionales como Trustifi, que aprovechan la Inteligencia Artificial para detectar amenazas, pueden resultar clave para detener ataques que aprueban las verificaciones tradicionales. Si su empresa está interesada en este tipo de soluciones, no dude en contactarnos.
