Cuidado con el phishing

Presunto PDF adjunto
Presunto PDF adjunto

A los ya conocidos emails fraudulentos usando la imagen de Correos, y otras empresas conocidas, estos días hay que sumar una nueva campaña cuyo objetivo es conseguir credenciales de acceso a cuentas de Gmail y de Google for Work.

Las víctimas están recibiendo de contactos conocidos con cuenta en Google Gmail o Google for Work (amigos y/o proveedores) emails que llegan a incluir la firma que el usuario utiliza habitualmente, dando la sensación de que dicho email es totalmente legítimo.

El email incluye un presunto adjunto en formato PDF:

Presunto PDF adjunto

Presunto PDF adjunto

 

En realidad se trata de una imagen con un enlace que abre una pestaña nueva que indica que has sido desconectado de tu cuenta de Gmail y te pide tus datos para volver a acceder.

En realidad se trata de una URL falsa que incluye código en javascript, visible en la URL del navegador a ciertas resoluciones.

 

La pantalla de login de Google en inglés, sea cual sea tu idioma habitual

La pantalla de login de Google en inglés, sea cual sea tu idioma habitual

 

Esa página que aparenta ser Google, en realidad está cargada, en este caso, desde http://bluevoicepgh.club/wp-content/#identifier (seguro que hay más servidores comprometidos e implicados en este phishing)

Screenshot from 2016-01-25 15-07-51Una vez que se han facilitado los datos a esta web falsa, la página se queda en blanco y listo, acabamos de regalar nuestros datos a un tercero desconocido.

En caso de haber caído, el primer paso es cambiar inmediatamente la clave, en este caso descrito los atacantes no están cambiando la clave del usuario, de manera que este tarda más tiempo en darse cuenta si Google no emite una alerta de tráfico sospechoso.

Para minimizar estas situaciones hay varias cosas que el usuario puede hacer:

1.- Como no vamos a estar analizando caracter a caracter cada URL, lo mejor es usar un gestor de contraseñas, los plugins que tienen para navegador detectan la URL y al no coincidir con la real del login de Google, no rellenará los datos.

2.- Activar la verificación en 2 pasos de la cuenta de Google en  https://accounts.google.com/b/1/SmsAuthSettings#devices que bien puede ser recibir un SMS con un código cada vez que hagamos login, o bien usar una app como Google Authenticator o FreeOTP, las cuales están disponibles para Android e iOS. Os recomiendo la app, los SMS de Google a veces tardan hasta 10 minutos en llegar.