Fraude por abuso de Google Docs

El phishing no es exactamente una técnica novedosa. Todo lo contrario, parece estar ahí desde siempre. Esta es una señal de su efectividad: podríamos creer que es improbable que uno revele los datos de su cuenta bancaria solo porque alguien se los pide, pero lo cierto es que hay una gran cantidad de personas que siguen siendo víctimas de uno de los métodos más sencillos de fraude.

Sin embargo, tanto la toma de conciencia de los usuarios como las herramientas anti-phishing hacen que cada vez sea más difícil que los estafadores logren salirse con la suya. Lo hemos constatado en la disminución del porcentaje de spam. Pero esa no es la única razón, pues los usuarios están optando por nuevas plataformas, como las redes sociales, para tener una comunicación directa.

Hoy quiero mostrar un ejemplo de la creatividad para evitar los filtros anti-spam y anti-phishing.

Ya me referí aquí a la manera en que los ciberdelincuentes abusan de los servicios online para minimizar sus costes operativos y para evitar los detectores. En este ejemplo, los ciberdelincuentes abusan de Google Docs con fines de phishing.

El procedimiento es el habitual: un mensaje de correo con un enlace malicioso. Sin embargo, ningún filtro anti-phishing consideraría Google Docs como malicioso:

Este mensaje está mal escrito. Al activar el enlace se llega a un Google Doc (alojado por Google),

donde se les pide a las víctimas su nombre de usuario, su dirección de correo, su contraseña (dos veces) y la fecha del último acceso. El objetivo de los atacantes no está muy claro, parece que intentan robar los datos de la cuenta de correo del usuario.

Como ya hemos dicho, este Doc está creado y alojado en Google Docs. Si la víctima ingresa sus datos, se los enviará al propietario del Doc.

Pero ésta es sólo la punta del iceberg. Google Docs permite alojar otros contenidos como archivos ejecutables en diferentes formatos, lo que lo convierte en un servicio de hosting muy conveniente y gratuito para contenidos maliciosos. Y además, la conexión es HTTPS por defecto, lo que lo hace mucho más conveniente para los ciberdelincuentes.

Podemos ver que Google ofrece la opción de denunciar este contenido como malicioso, lo que ya he hecho.

Pensaba que el uso de este método no era tan popular. Es una muestra de cómo se puede burlar la seguridad mediante el abuso de servicios legítimos. La clave para los ciberdelincuentes es hacerlo de tal manera que pasen desapercibidos y eviten las detecciones, por lo que este método parece más arriesgado para los ataques dirigidos.

Sin embargo, después de verificar los datos que mis colegas han recogido, ya no estoy tan seguro de ello. Es mucho más común de lo que creía, ya que es muy efectivo para evitar las medidas de seguridad y para que él contenido le parezca legítimo a la víctima.

P.D.: Agradezco a mis colegas Fabio y Michael por su ayuda en la publicación de este artículo.