Cuidado, los hackers aparentemente pueden enviar correos de phishing desde “no-reply@google.com”.
Investigadores han desvelado un complicado esquema.
Investigadores han desvelado una compleja estafa de phishing que ha logrado aprovechar los servicios de Google para engañar a los usuarios y que estos entreguen sus credenciales de acceso. Este esquema malicioso ha sido detectado por el desarrollador principal del Ethereum Name Service, Nick Johnson, quien recibió un correo electrónico que aparentaba provenir de no-reply@google.com. En el mensaje, se advertía sobre una supuesta solicitud de las fuerzas del orden que requería contenido de su cuenta de Google.
Johnson mencionó que el correo tenía un aspecto muy creíble y que podría ser complicado para muchos usuarios, sobre todo aquellos con menos conocimientos técnicos, darse cuenta de que se trataba de un intento de fraude.
El proceso que siguen los delincuentes comienza al crear una cuenta de Google, usando una dirección ficticia como me@domain. Luego, establecen una aplicación mediante OAuth de Google, donde incrustan el mensaje de phishing relacionado con la falsa solicitud judicial en el campo de nombre de dicha aplicación. Posteriormente, se otorgan a sí mismos acceso a la dirección de correo en Google Workspace.
Como resultado, Google envía una notificación al correo me@domain, y como el mensaje de phishing está en el campo de nombre, ocupa toda la pantalla del destinatario. Si se desplaza hacia el final del mensaje, hay indicios de que algo no cuadra, pues al final se puede leer información sobre el acceso a la dirección de correo me@domain.
La metodología del ataque ha sido denominada “ataque de replay phishing DKIM”, puesto que se basa en el funcionamiento del sistema DKIM de Google, que verifica solo el mensaje y las cabeceras, no el sobre del correo. Al registrar previamente la dirección me@domain, Google la mostrará como entregada a su bandeja de entrada.
Para ocultar aún más sus intenciones, los estafadores utilizan sites.google.com para crear las páginas de captura de datos. Esta plataforma gratuita de creación de sitios web de Google debería ser siempre un motivo de sospecha al ser detectada.