Incidentes Asociados
- Los cibercriminales se hicieron pasar por miembros del equipo Workspace de Google mediante técnicas avanzadas de phishing de voz.
- Más adelante en la conversación, los piratas informáticos enviaron un correo electrónico a la víctima que solicitaba un restablecimiento de contraseña.
- El correo electrónico fraudulento parecía provenir del dominio legítimo "g.co" de Google, lo que se suma a los elementos engañosos.
Google ha anunciado medidas para reforzar sus defensas tras un sofisticado ataque de phishing que casi comprometió la cuenta de un usuario. Los estafadores utilizaron una técnica avanzada de phishing de voz, haciéndose pasar por miembros del equipo Workspace de Google.
El incidente fue revelado por Zach Latta, fundador de Hack Club, con sede en Vermont, quien contó su experiencia en un hilo detallado, describiendo el intento de phishing como "el más sofisticado" que había encontrado.
La llamada parecía proceder de un número legítimo de Google, 650-203-0000, y mostraba un identificador de llamada de "Google". La estafadora, que se identificó como "Chloe", habló con acento estadounidense sobre una línea clara, lo que le dio un aire de autenticidad a la llamada.
Los estafadores afirmaron que había habido un intento de inicio de sesión inusual desde Frankfurt en su cuenta de Google e insistieron en que restableciera su contraseña.
Para verificar su autenticidad, Latta solicitó un correo electrónico de un dominio de Google confirmado, que recibió de [email protected], una dirección de Google legítima. A pesar de esto, Latta se mantuvo cauteloso y finalmente descubrió inconsistencias en su historia.
La estafa se desenmascaró cuando "Solomon", otro estafador, se hizo cargo de la llamada. Si bien Solomon proporcionó el número genuino de autenticación de dos factores (2FA) del dispositivo de Latta, sus intentos de guiar a Latta para que escribiera el número correcto levantaron sospechas.
Uno de los elementos más engañosos de la estafa fue el uso indebido del dominio g.co de Google. Los atacantes crearon un Google Workspace utilizando un subdominio g.co, que les permitió enviar correos electrónicos a través de la infraestructura legítima de Google.
Utilizaron esta capacidad para crear correos electrónicos engañosos de restablecimiento de contraseña, que habrían parecido creíbles para la mayoría de los usuarios.
Latta señaló lo peligrosamente cerca que estuvo de ser víctima del ataque, afirmando: "Lo que es una locura es que si hubiera seguido las dos 'mejores prácticas' de verificar el número de teléfono y hacer que me envíen un correo electrónico desde un dominio legítimo, me habrían comprometido".
Google ha respondido desde entonces al incidente. Un portavoz declaró: "Hemos suspendido la cuenta detrás de esta estafa, que abusó de una cuenta de Workspace no verificada para enviar estos correos electrónicos engañosos. Si bien no hemos visto evidencia de que se trate de una táctica a gran escala, estamos reforzando nuestras defensas contra los abusadores que aprovechan las referencias a g.co al registrarse para proteger aún más a los usuarios".
En otras noticias, los piratas informáticos se hacen pasar por anuncios de Google a través de resultados pagos falsos en algunas campañas maliciosas que aprovechan cuentas de anunciantes de Google secuestradas.