Phishing ingenioso a través de Google Docs
Introducción
Días antes de la fecha de publicación de este post, un compañero de trabajo me
reenvió una trampa de Phishing, destacando la ingeniosa modalidad utilizada
por el delincuente, la cual merece el análisis que se muestra a continuación.
Autopsia del sencillo e ingenioso ataque
Los pasos que siguió el ciberdelincuente fueron los siguientes:
1) Crear una cuenta de Google. No
es importante la dirección en sí. Lo importante es utilizar el nombre y
apellido de la persona que se desea suplantar, por ejemplo
el CEO de una organización. También se puede colocar luego una foto
de perfil de la persona, la cual se puede conseguir en cualquier red social
sin mayores problemas.
2) Crear un documento de Google Docs y dejar allí el texto del engaño
de Phishing.
3) Dejar un comentario en el documento arrobando a la víctima.
4) Esperar que la víctima ingrese al enlace malicioso proporcionado.
¡Así de fácil!
Delivery garantizado en bandeja de entrada
La víctima, recibirá un correo con el comentario de Google Docs, de
manera similar a la siguiente captura:
Este correo, es altamente probable
que ingrese directamente a la bandeja de entrada del usuario. Está
enviado desde los servidores de Google, firmado por Google, con todas las
medidas de seguridad tomadas por Google en perfecto estado :)
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=20161025 header.b="O/rA7Zvo";
spf=pass (google.com: domain of [email protected] designates 209.85.220.77 as permitted sender) [email protected];
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=docs.google.com
Suplantación de identidad nivel Dios
Como podemos ver en la captura anterior, no se muestra en ningún lugar el
correo electrónico del remitente, únicamente
su nombre, apellido y foto de perfil, totalmente editables en una cuenta
de Google.
Además, es posible colocar el asunto que se desee ya que es tomado
desde el título del documento.
De hecho, ni siquiera es necesario que la víctima ingrese al documento por
ningún motivo, ya que
todo el contenido de interés ya se encuentra en el email recibido.
¿Quién detecta esto?
Como podemos imaginar, el dominio de docs.google.com no caerá en
listas negras como Google Safe Browsing para que nuestros usuarios
puedan estar protegidos.
Lo máximo que ha hecho Google en el caso que me compartió mi compañero ha
sido bloquear el ingreso al documento que contenía el engaño:
Pero esto no sirve de mucho,
ya que el email sigue estando en bandeja de entrada con el contenido
original intacto.
Probablemente, tampoco sea práctico bloquearlo dentro de nuestra
organización, y de todas maneras
por fuera de la organización los usuarios podrían recibir igualmente el
engaño.
Como vimos, todos los registros SPF, DKIM y DMARC se encuentran
perfectamente configurados, por lo cual
los clientes de correo no lo van a bloquear. Tampoco los sistemas
Anti SPAM o similares.
¿Recibiste un correo con estas características? Reportalo en Antiphishing.la
Fuente: Smartfense
Hay una problematica adicional con este ataque, del cual yo fui 'target' un par de veces.
ResponderBorrarEn mi caso el mail de Google Docs fue a la carpeta de Spam pero sin embargo, y lo que me hizo darme cuenta de este ataque, en mi celular recibi una notificacion de la app Google Drive con el link al documento malicioso.
Exactamente me pasó a mi en 4 oportunidades en mi correo principal y en par en otro correo
BorrarMuy buen artículo, pero esto lo ensucia un poco:
ResponderBorrarconcientización
concientizado
Supongo que es concienciación y concienciado
jajajaja, en "Argentino" se aceptan los dos, concienciado y concientizado :)
Borrar