Cuidado con una nueva estafa de Google Drive dirigida a bandejas de entrada

Los estafadores se están aprovechando una falla en la unidad para enviar correos electrónicos aparentemente legítimos y notificaciones automáticas de Google que, si se abren, podrían llevar a las personas a sitios web maliciosos. La estafa en sí no es nada nuevo (los mensajes que le piden que haga clic en enlaces poco fiables son […]

Los estafadores se están aprovechando una falla en la unidad para enviar correos electrónicos aparentemente legítimos y notificaciones automáticas de Google que, si se abren, podrían llevar a las personas a sitios web maliciosos.

La estafa en sí no es nada nuevo (los mensajes que le piden que haga clic en enlaces poco fiables son tan antiguos como Internet), pero podrían tomar a mucha gente desprevenida.

La parte más inteligente de la estafa es que los correos electrónicos y las notificaciones que genera provienen directamente de Google. En dispositivos móviles, la estafa utiliza la función de colaboración en Google Drive para generar una notificación de inserción que invita a las personas a colaborar en un documento. Si se toca, la notificación lo lleva directamente a un documento que contiene un vínculo muy grande y tentador. Una notificación por correo electrónico creada por la estafa, que también proviene de Google, también contiene un enlace potencialmente malicioso. A diferencia del spam regular, que Gmail hace un buen trabajo filtrando, este mensaje no solo llega a su bandeja de entrada, sino que obtiene una capa adicional de legitimidad al provenir del propio Google.

Las personas afectadas por la estafa reciben notificaciones y correos electrónicos de Google Drive en ruso o en inglés roto pidiéndoles que colaboren en documentos con nombres sin sentido. Estos documentos siempre contienen un enlace a un sitio web fraudulento. Uno de los sitios web utilizados para la estafa, que solo se registró el 26 de octubre, bombardea a las personas con notificaciones y solicitudes para hacer clic en enlaces a ofertas y sorteos de premios. Otras versiones de la estafa intentan atraer a las personas a hacer clic en los enlaces para verificar su cuenta bancaria o recibir un pago.

Los usuarios seleccionados acudieron a Twitter para advertir sobre las estafas, y un usuario de Twitter dijo que la única señal de alerta de la estafa era que no esperaba un documento compartido. 

Puede que no sea elegante, pero la estafa es eficaz para introducir enlaces maliciosos en las bandejas de entrada y los dispositivos móviles de las personas. “La entrega de enlaces es siempre un desafío”, dice Jake, @JCyberSec_ en Twitter, un investigador independiente de ciberseguridad que ha estado rastreando campañas de phishing durante cinco años y que también fue blanco de la estafa de Drive.

“Los sistemas controlan y analizan de cerca los correos electrónicos, lo que significa que se detecta una gran cantidad de correos electrónicos no deseados antes de la entrega”, dice, pero Google Drive no ofrece tal protección. “Los actores de amenazas siempre intentan encontrar nuevos métodos de entrega”, dice Jake. Y en dispositivos móviles, el método de phishing podría ser particularmente efectivo. “El phishing dirigido a dispositivos móviles está aumentando ya que hay menos controles de seguridad”, agrega.

Un portavoz de Google dice que la compañía tiene medidas para detectar nuevos ataques de spam y detenerlos, pero que ninguna medida de seguridad es 100% efectiva. El portavoz agrega que Google está trabajando en nuevas medidas para dificultar que el spam de Google Drive eluda sus sistemas. Cualquiera que sea víctima de la estafa puede denunciarlo a Google a través de la página de soporte de la empresa.

ºEs difícil para Google hacer algo si la notificación proviene de una cuenta legítima, que es, por supuesto, fácil de crear”, dice David Emm, investigador principal de seguridad de la firma de ciberseguridad Kaspersky. Agrega que, al igual que con todas las estafas de phishing, lo importante es pensar antes de hacer clic. “Evita hacer clic en enlaces no solicitados de cualquier tipo cuando se envíen desde fuentes desconocidas. Si no esperabas recibirlo y no conoce al remitente, no responda”.