Phishers Abusan de Google OAuth para Suplantar a Google en un Ataque de Repetición DKIM

En un mundo cada vez más digitalizado, la seguridad en línea se ha convertido en una de las prioridades más importantes para los usuarios. Recientemente, un ingenioso ataque ha revelado cómo los phishers han abusado de la infraestructura de Google para llevar a cabo un engaño que permite la suplantación de identidad sin levantar sospechas. Se ha denominado "Phishers abuse Google OAuth to spoof Google in DKIM replay attack" y es esencial que todos los usuarios de internet conozcan los riesgos y cómo protegerse.

¿Qué es el phishing y cómo funciona?

El phishing es una técnica de ciberataque que busca engañar a las personas para que revelen información confidencial, como contraseñas o datos bancarios. Los atacantes envían correos electrónicos falsos que parecen legítimos, con el objetivo de dirigir a las víctimas hacia páginas web fraudulentas que imitan la apariencia de sitios de confianza.

El ataque de DKIM replay

Este nuevo enfoque de phishing implica el uso del método de verificación DKIM (DomainKeys Identified Mail), que normalmente ayuda a identificar correos electrónicos auténticos y minimizar la suplantación de identidad. Los atacantes lograron eludir estos mecanismos de seguridad, haciendo que sus correos parezcan enviados por Google y, además, pasaran todas las verificaciones de autenticación.

Uno de los casos más destacados fue el de Nick Johnson, un desarrollador que recibió un correo falso que parecía ser de Google, informándole sobre una supuesta orden judicial. A pesar de que el correo pasó las verificaciones de DKIM, Johnson notablemente percibió que el enlace conducía a un portal de soporte falso alojado en Google Sites, un claro indicativo de estafa.

Cómo los atacantes engañan a las víctimas

Creación de una identidad falsa

Los phishers comienzan por registrar un dominio que simula ser un servicio legítimo. Posteriormente, crean una cuenta de Google asociada a ese dominio, utilizando un nombre que da la impresión de pertenecer a Google. Una vez que tienen acceso a su "nueva" cuenta, los atacantes pueden crear una aplicación OAuth que aparentemente proporciona acceso a su cuenta.

La ilusión de la legitimidad

Una vez que han creado una aplicación con un mensaje que contiene información robada de Google, envían un correo a la víctima. Este correo parece provenir de una dirección legítima como "no-reply@google.com", y gracias a las verificaciones de DKIM, pasa como legítimo. Esto es crítico para su estrategia, ya que permite que el correo llegue a la bandeja de entrada del usuario sin activar las alarmas típicas.

La trampa del portal falso

El correo incluye un enlace a un falso portal de soporte que pide credenciales de acceso. Este portal está diseñado para parecerse casi idénticamente al verdadero, lo que aumenta las posibilidades de que las víctimas caigan en la trampa. La única señal de advertencia que algunos usuarios pueden notar es que la dirección es sites.google.com en lugar de accounts.google.com, sin embargo, muchos usuarios poco experimentados pueden no darse cuenta de esta pequeña discrepancia.

¿Qué pueden hacer los usuarios para protegerse?

Mantente informado sobre las amenazas cibernéticas

La primera línea de defensa contra el phishing es la educación. Los usuarios deben estar al tanto de las últimas amenazas y saber cómo identificar correos electrónicos sospechosos. Revisar la dirección del remitente, prestar atención a errores de gramática y buscar enlaces sospechosos son prácticas recomendadas.

Verificación de enlaces

Antes de hacer clic en cualquier enlace en un correo electrónico, sería prudente pasar el cursor sobre el enlace y ver a dónde realmente conduce. Si la dirección parece extraña o no coincide con la fuente esperada, es mejor no hacer clic.

Uso de autenticación en dos pasos

Implementar la autenticación en dos pasos en cuentas de servicios como Google puede ayudar considerablemente a proteger la información personal. Esto agrega una capa adicional de seguridad, requiriendo una segunda forma de verificación además de la contraseña.

Descarga herramientas de seguridad

Contar con un antivirus de calidad puede marcar la diferencia. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Reflexionando sobre la seguridad de Google

A raíz de esta exposición a la que Google se ha visto sometido, se ha cuestionado la seguridad de sus sistemas. Los investigadores han identificado que los controles DKIM, que normalmente ayudan a prevenir el phishing, tienen una debilidad: sólo analizan el contenido del mensaje y las cabeceras, ignorando cómo se envían estos mensajes, lo que permite que los correos fraudulentos pasen la validación.

Incidentes similares en otras plataformas

Es interesante notar que este tipo de ataque no es exclusivo de Google. En otros casos, como el de PayPal, se han utilizado métodos similares para engañar a sus usuarios. Un ataque reciente involucró la creación de una nueva dirección de correo vinculada a una cuenta de PayPal, con el objetivo de engañar a los usuarios para que revelen información sensible.

¿Cómo reaccionó Google ante este problema?

Tras el descubrimiento de estas tácticas de phishing, Google inicialmente respondió a la preocupación indicando que el proceso estaba funcionando como se pretendía. Sin embargo, tras mayor investigación, la compañía ha comenzado a tratar este asunto como un riesgo real, e indican que están trabajando en soluciones para cerrar la vulnerabilidad en su sistema OAuth.

En resumen

Las táticas de phishing están evolucionando, y los atacantes están encontrando nuevas formas de engañar a los usuarios utilizando herramientas de confianza como Google. La clave para protegerse es la educación continua, la implementación de medidas de seguridad robustas y, sobre todo, no bajar la guardia. Los usuarios deben ser astutos al tratar con correos electrónicos de fuentes supuestamente seguras. La conciencia sobre estas amenazas es esencial para mantener seguros nuestros datos personales y profesionales.

No olvides revisar seguridad en tus dispositivos y considerar la opción de descargar herramientas útiles como antivirus para protección adicional.

Fuente: https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/