Incidentes Asociados
Una estafa dirigida a los titulares de cuentas de Gmail ha estado circulando y usted podría fácilmente ser víctima de esta estafa. Sam Mitrovic, consultor de soluciones de Microsoft, podría haber sido una víctima como explicó en una publicación de blog que detalla lo que le sucedió. Recibió una notificación en la que se le pedía que aprobara un intento de recuperación de cuenta de Gmail que él no inició. 40 minutos después de rechazar la solicitud, Sam perdió una llamada de Google Sydney.
Una semana después, aproximadamente a la misma hora del día, Mitrovic recibió una notificación en la que se le pedía que aprobara un intento de recuperación de cuenta de Gmail que una vez más se negó a aprobar. Y una vez más, después de 40 minutos, recibió una llamada telefónica. Esta vez, la contestó y se encontró hablando con un estadounidense a pesar de que la llamada se originó desde Australia.
Este Gmail no provenía de Google, algo que la víctima se dio cuenta justo a tiempo. | Crédito de la imagen: Sam Mitrovic
El hombre del otro lado de la llamada dice que hay actividad sospechosa en su cuenta. Le pregunta a Sam si está de viaje o si inició sesión desde Alemania. Cuando responde "No" a ambas preguntas (que están diseñadas para asustar a la víctima y hacerle pensar que su cuenta ha sido comprometida), a Mitrovic le dicen que alguien ha tenido acceso a su cuenta durante una semana y ha descargado los datos de la cuenta.
Mientras estaba en la llamada telefónica, Mitrovic buscó en Google el número de teléfono desde el que se recibió la llamada y apareció como un número legítimo de Google en Australia. Aun así, sabiendo que los estafadores pueden hacer que una llamada parezca que proviene de un número en particular, tiene una solicitud para el tipo que está al teléfono.
Mitrovic pidió que se le envíe un correo electrónico para autenticar la validez de la llamada. Si bien el caballero está de acuerdo, Sam puede escuchar en su teléfono el sonido de alguien escribiendo en un teclado y el ambiente general de un centro de llamadas. Cuando llega el correo electrónico, parece legítimo, excepto que una de las direcciones en el campo "para", GoogleMail en InternalCaseTracking dot com, es un dominio que no es de Google. Y entonces Mitrovic se dio cuenta de que la voz del otro lado de la llamada era generada por IA. Como no quería ser una víctima, Mitrovic colgó.
Más tarde descubrió que la dirección de correo electrónico del remitente era falsa. Los estafadores pudieron hacerlo utilizando Salesforce CRM. Este último permite a un usuario configurar la dirección del remitente como cualquier dirección que desee y enviarla a través de los servidores de Gmail/Google.
En Reddit, un suscriptor reveló que hab�ía sido el destinatario de la misma estafa exacta en la que tampoco cayó. Sin embargo, no todos fueron lo suficientemente inteligentes como para rechazar la llamada. Mientras hacía una búsqueda inversa de números de teléfono, Sam se encontró con una publicación de una víctima que pensaba que la llamada era de Google. Y, francamente, la estafa era tan sofisticada que no se podía culpar a nadie por caer en ella.
Entonces, da miedo pensar en lo que podría haber sucedido si Mitrovic hubiera aprobado la notificación de recuperación de cuenta. Si eso hubiera sucedido, habría perdido el control de su cuenta ante los estafadores. Hubo varias ocasiones durante esta estafa en las que una persona común probablemente hubiera dado autorización a los estafadores para que se hicieran cargo de su cuenta.
No acepte ningún intento de recuperación de cuenta de Gmail. Se trata de un ataque de phishing que, en última instancia, lo envía a una página de inicio de sesión falsa en la que se le solicita que escriba sus credenciales legítimas para informar que la solicitud de recuperación de cuenta que recibió no se envió a pedido. Si no está seguro de si la correspondencia que recibe de una empresa es real o no, siempre es mejor pecar de precavido. Obtenga un número de teléfono legítimo de la empresa en la Búsqueda de Google, haga la llamada y pídale a la empresa que confirme que le envió una notificación o un correo electrónico.