Incidentes Asociados
Google dice que ahora está reforzando sus defensas contra una sofisticada estafa de robo de cuentas documentada por un programador la semana pasada.
Zach Latta, fundador de Hack Club, contó lo cerca que estuvo de sucumbir a los estafadores de voz que intentaron hacerse con el control de su cuenta de Google.
Dijo: "Alguien acaba de intentar el ataque de phishing más sofisticado que he visto en mi vida. Casi caigo en la trampa. Estoy un poco alucinado".
Los estafadores llamaron a Latta, que vive en Vermont, EE. UU., y le dijeron que el equipo de Google Workspace había detectado un intento de inicio de sesión inusual desde Frankfurt y que necesitaba restablecer la contraseña de su cuenta.
La llamada procedía del 650-203-0000 (un número genuino asociado con las llamadas automatizadas del Asistente de Google) y un identificador de llamadas de "Google". El estafador usó el nombre de Chloe y habló con acento estadounidense en una línea que sonaba muy clara. Aparte de que Google hizo la llamada inicialmente, todo parecía estar bien al principio.
Sin embargo, Latta siguió sospechando y pidió un correo electrónico genuino enviado desde un dominio de Google para confirmar la autenticidad de la llamada. Ese correo electrónico provenía de una dirección workspace-noreply@google.com no falsificada e incluso después de preguntar si podía devolver la llamada a ese número, Chloe no pareció inmutarse y dijo "claro", aunque eso fue suficiente para evitar que Latta lo hiciera.
La estafa comenzó a desenredarse después de que el gerente de Chloe, "Solomon", otro individuo con acento estadounidense, se hiciera cargo de la llamada y brindara información que contradecía la proporcionada por su colega. Una gracia salvadora fue que pudo proporcionar el código genuino de 2FA number-matching que apareció en el dispositivo de Latta.
Para alguien que no es experto en tecnología, eso probablemente sería suficiente para convencer a una víctima de que era un empleado genuino de Google en la línea, pero el estímulo de Solomon para presionar el número correcto fue la última señal de alerta antes de determinar por completo que se trataba de una estafa.
"Lo que es una locura es que si hubiera seguido las dos 'mejores prácticas' de verificar el número de teléfono y hacer que me envíen un correo electrónico desde un dominio legítimo, me habrían comprometido", escribió Latta [(https://gist.github.com/zachlatta/f86317493654b550c689dc6509973aa4)].
"Entiendo cómo pudieron falsificar la llamada telefónica 'Google' a través del Asistente de Google, pero no tengo idea de cómo obtuvieron acceso a important.g.co [ya que] g.co es una URL legítima de Google.
"[Estuve] literalmente a solo presionar un botón de ser completamente pirateado. ¡Y soy bastante técnico!"
El uso de g.co es crucial aquí. El estafador crea un Google Workspace usando un subdominio g.co. G.co es un subdominio genuino de Google y cualquiera puede crear un nuevo Workspace usando un subdominio g.co sin tener que verificar que es el propietario.
Luego, los estafadores crean una cuenta para la víctima usando el Workspace y envían un correo electrónico de restablecimiento de contraseña que proviene del propio Google, como es normal para una cuenta de Workspace.
Un portavoz de Google le dijo a The Register: "Hemos suspendido la cuenta detrás de esta estafa, que abusó de una cuenta de Workspace no verificada para enviar estos correos electrónicos engañosos.
"No hemos visto evidencia de que esta sea una táctica a gran escala, pero estamos reforzando nuestras defensas contra los abusadores que aprovechan las referencias de g.co al registrarse para proteger aún más a los usuarios".
Como recordatorio, Google no llamará a los usuarios para restablecer sus contraseñas o solucionar problemas de cuenta, así que no dude en tratar cualquier llamada entrante como la basura que es.
Un problema más amplio
Algunos de los detalles del caso de Latta coinciden con historias similares de desgracias, como la que contó el venerable periodista de seguridad de la información Brian Krebs en diciembre sobre una toma de control de una cuenta de Google que condujo a una incursión de criptomonedas de medio millón de dólares.
Alguien supuestamente del soporte de Google llamó a Adam Griffin desde el mismo número 650-203-0000, pero esta vez se abusó de Google Forms en lugar del dominio g.co.
El truco de Google Forms ya tiene algunos años, pero sigue siendo una herramienta convincente que desconcertará a muchas víctimas. Abusa de una característica de Forms que permite a los atacantes enviar correos electrónicos falsos, como advertencias de compromiso de cuenta de Google, pero desde un dominio genuino de Google que es más probable que no se detecte como spam.
Al otro lado del teléfono había una persona con acento estadounidense, como en el caso de Latta, que pudo guiar a Griffin a través del proceso de recuperación de la cuenta. Sabían cuándo aparecerían determinadas ventanas emergentes en la aplicación Gmail, por ejemplo, también como en el caso de Latta con la coincidencia de números.
Por supuesto, ambas fueron iniciadas por los propios estafadores, pero nuevamente, probablemente serían suficientes para convencer a la multitud no técnica de la "autenticidad" de la llamada.
Estafas similares también están afectando a los usuarios de Apple ahora, como Krebs señaló a principios de este mes, y los casos recientes sirven como recordatorios constantes de lo importante que es educar a las masas sobre el oficio de los estafadores.
También son excelentes anuncios para soluciones más modernas al phishing, como las claves de acceso, cuya popularidad se ha disparado en el último año con advertencias de Microsoft de que todos los usuarios eventualmente se verán obligados a usarlas. Del mismo modo, Google es un gran defensor también de ellas. ®