Incidentes Asociados
Los estafadores lograron llamar a una víctima usando el número de teléfono de Google, que aparece en el sitio web de soporte oficial, y luego enviaron un correo electrónico desde un subdominio oficial. No está claro cómo los actores de amenazas podrían haber abusado de las funciones de Google.
El ingeniero de software Zach Latta, fundador de Hack Club, detalló un ataque inusual en GitHub.
Alguien llamado Chloe llamó a Latta desde el 650-203-0000 con el identificador de llamadas "Google". Como se explica en la página de soporte de Google, Google Assistant usa este número para llamadas automáticas, como para hacer reservas o consultar los tiempos de espera en restaurantes.
"Sonaba como una verdadera ingeniera, la conexión era súper clara y tenía acento americano", dijo el desarrollador.
Los estafadores que se hacían pasar por el soporte de Google Workspace advirtieron que bloquearon la cuenta de Latta porque alguien había iniciado sesión desde Frankfurt y había obtenido acceso a ella.
Latta sospechó inmediatamente que se trataba de un intento de estafa. Pidió una confirmación por correo electrónico.
Para su sorpresa, los piratas informáticos dijeron que sí y enviaron un correo electrónico desde un subdominio genuino, g.co, que pertenece a Google. El mensaje de correo electrónico, indistinguible del real, no contenía señales de suplantación de identidad y pasó las pruebas DKIM, SPF y DMARC (protocolos de autenticación de correo electrónico que comprueban la suplantación de identidad y los ataques de phishing). Latta compartió todas las pruebas en una publicación.
Según Google, g.co es un acceso directo a URL oficial que es "solo para sitios web de Google".
"Puedes confiar en que siempre te llevará a un producto o servicio de Google", se lee en la página de destino del dominio.
Los estafadores explicaron que la cuenta probablemente se vio comprometida a través de una extensión de Chrome. Tenían cuentas fraudulentas de LinkedIn preparadas como prueba de que trabajaban en Google.
"Chloe" intentó engañar al desarrollador para que grabara uno de los tres números que aparecieron en su teléfono para "restablecer la cuenta". En realidad, esta acción habría dado acceso a la cuenta a los estafadores si la hubiera realizado.
El ingeniero de software grabó la conversación posterior cuando estuvo seguro de que se trataba de un intento de phishing.
"Lo que es una locura es que si hubiera seguido las dos 'mejores prácticas' de verificar el número de teléfono + hacer que me envíen un correo electrónico desde un dominio legítimo, me habrían comprometido", advierte Latta.
Google aún no ha abordado públicamente este problema específico. Cybernews se puso en contacto con Google para obtener comentarios y está esperando su respuesta. Mientras tanto, no está claro cómo los spammers podrían haber obtenido acceso a importantes funciones y subdominios de Google.
Algunos especulan que los atacantes pueden haber obtenido credenciales de la cuenta de Google, que les permiten acceder a funciones parciales, pero requieren eludir la autenticación multifactor para apoderarse de la cuenta y obtener acceso persistente.
Mientras tanto, se recomienda a los usuarios que tengan cuidado al recibir llamadas o correos electrónicos sospechosos y que informen de cualquier actividad sospechosa al equipo de seguridad de Google.