Los ciberdelincuentes se vuelven creativos con los servicios de Google



Los ataques aprovechan servicios populares, incluidos Google Types y Google Docs.

Los investigadores de seguridad han informado de un aumento en los ciberataques que utilizan los servicios de Google como armas para escabullirse de las herramientas defensivas y robar credenciales, detalles de tarjetas de crédito y otra información personalized.

El equipo de investigación de amenazas de Armorblox publicó hoy su análisis de cinco campañas de phishing dirigidas a las que llaman «la punta de un iceberg profundo». Estos ataques aprovechan varios servicios de Google, incluidos Google Sorts, Google Docs, Google Website y Firebase, la plataforma móvil de Google para el desarrollo de aplicaciones.

«Google ofrece todos estos servicios que facilitan la creación de aplicaciones», dice Arjun Sambamoorthy, cofundador y director de ingeniería de Armorblox, sobre el reciente aumento de estos ataques. «Esto en realidad alienta a los atacantes a moverse hacia Google en lugar de alojar un sitio ellos mismos … esto también agrega credibilidad, en cierto sentido, a los sitios de phishing alojados en Google».

La mayoría de los empleados, y las herramientas de seguridad de las que dependen, utilizan y confían regularmente en los servicios de Google, una confianza que los atacantes conocen bien y pretenden explotar en estas campañas, señala.

«Hay todo un espectro de ataques», dice Sambamoorthy. Si bien algunas de las estafas parecen sofisticadas, los investigadores creen que la accesibilidad de Google podría significar que un individuo o un grupo de menor escala podría ser responsable de esta actividad. El objetivo parece ser el robo de datos.

Un correo electrónico de phishing con credenciales, por ejemplo, falsifica American Convey e informa a los destinatarios que no proporcionaron información al validar su tarjeta. Se coloca un enlace para redirigir al lector a una página donde puede ingresar sus datos. Esta página, alojada en Google Sorts, contiene la marca American Categorical y solicita a la víctima credenciales de inicio de sesión, detalles de la tarjeta de crédito e incluso el apellido de soltera de su madre, una pregunta de seguridad común, señalan los investigadores.

En otro ataque, los delincuentes se hacen pasar por un equipo de seguridad empresarial con un correo electrónico que informa a la víctima que no ha recibido un mensaje «critical» debido a un problema de cuota de almacenamiento. El correo electrónico contiene un enlace para que verifiquen sus datos y reinicien la entrega del correo electrónico. La URL redirige a una página de inicio de sesión falsa alojada en Firebase, donde ven su dirección de correo electrónico prellenada encima de una solicitud de contraseña.

«Los ciberdelincuentes suelen utilizar técnicas de &#39llenado rápido&#39 que imitan los formularios en sitios world wide web legítimos para adormecer a las víctimas con una falsa sensación de seguridad», escribió Sambamoorthy en un entrada en el site Según los hallazgos, notando que la URL pasa por una redirección antes de aterrizar en la página de Firebase, ocultando el flujo de ataque para cualquier tecnología de seguridad que pueda intentar seguirla.

La mayoría de las personas usan Google Docs en su trabajo diario y es posible que no se den cuenta de la estafa del recibo de pago que arma el well-known servicio. Los investigadores notaron que los atacantes se hacían pasar por el equipo de nómina de una empresa con un correo electrónico que contenía detalles del recibo de pago. El correo electrónico, que tenía el nombre del destinatario en el asunto y el cuerpo para transmitir urgencia, contenía un enlace para que los lectores verificaran si sus datos personales son correctos.

«Esta es una variante del fraude de desvío de nómina más clásico, donde los ciberdelincuentes se hacen pasar por empleados y tratan de desviar los fondos de nómina a sus propias cuentas», escribió Sambamoorthy.

En otro ataque de suplantación de identidad de marca, los ciberdelincuentes utilizan Google Web pages para crear una página de phishing de credenciales que se asemeja a Microsoft Groups. Para engañar a las víctimas para que visiten el sitio, crean un correo electrónico que pretende provenir del equipo de TI de la empresa y les pide a los lectores que vean un mensaje seguro de Groups.

Capacitar a los empleados para detectar el ciberdelito
Ninguna de las marcas antes mencionadas solicitará credenciales utilizando un sitio de Google, enfatizó Sambamoorthy, que es «algo elementary a tener en cuenta» para todos los empleados. Si alguien es víctima de un ataque de ingeniería social, se le debe indicar que se comunique con sus colegas para ver si otros recibieron el mismo mensaje antes de compartir las credenciales.

«La mayoría de estos atacantes intentan insertarse en un flujo de trabajo digital que ya existe en la organización», dice Abhishek Iyer, director de internet marketing de productos de Armorblox, y señala que este es otro component que los empleados deben tener en cuenta.

Tanto Sambamoorthy como Iyer animan a las empresas a adoptar la autenticación multifactor (MFA) siempre que sea posible. De esta manera, incluso si los atacantes roban credenciales, será cada vez más difícil para ellos ingresar a otras cuentas con el mismo nombre de usuario y contraseña. Iyer también señala que las grandes empresas que implementan MFA pueden trabajar con proveedores que no lo hacen, lo que podría representar un riesgo para la organización. Su consejo: eduque a los proveedores y asegúrese de que también estén usando MFA.

Kelly Sheridan es la editora de own de Darkish Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic