No somos nuevos en los ataques de phishing. Estos son ciber estafas donde los atacantes se hacen pasar por entidades confiables a través de correos electrónicos, mensajes de texto o llamadas para engañar a los usuarios para que revelen datos confidenciales como contraseñas, información de tarjetas de crédito y otros. En uno de esos casos, los servicios confiables de Google se convirtieron una vez más en el centro de una campaña de estafa de phishing. Engaña a los usuarios para que haciendo clic en enlaces maliciosos y regalar sus datos de acceso.
Nueva campaña de estafa de phishing se hace pasar por servicios confiables de Google
En un nuevo informe, ciberseguridad investigadores de Check Point revelar que los estafadores enviaron casi 9.400 correos electrónicos, dirigidos alrededor de 3.200 empresas en un lapso de dos semanas. Todos estos mensajes supuestamente fueron enviados desde la cuenta de correo electrónico “[email protected].” Esto significa que los atacantes estaban abusando de la integración de la aplicación Google Cloud.
Para aquellos que no lo saben, este es un servicio administrado de Google Cloud que conecta aplicaciones, API y fuentes de datos sin necesidad de escribir código personalizado. Esto permite a las organizaciones automatizar flujos de trabajo entre servicios en la nube, aplicaciones SaaS y sistemas internos mediante conectores, activadores y acciones prediseñados. Los correos electrónicos generados a través de la integración de la aplicación Google Cloud se originan en la infraestructura y los dominios de Google.
En las estafas de phishing, los actores de amenazas pueden crear o comprometer un proyecto de Google Cloud y configurar un flujo de trabajo de integración que envíe correos electrónicos a través de las API de Gmail u otros servicios de correo electrónico conectados. En términos simples, esto es un abuso, más que una brecha en la infraestructura de Google.
La mayoría de las víctimas estaban en EE.UU.
Para hacer los correos electrónicos más creíbles, los atacantes aparentemente se aseguraron de que los mensajes siguieran el estilo, el lenguaje e incluso el formato de Google. Estos correos electrónicos atraían a los usuarios con mensajes de voz pendientes o notificaciones sobre la recepción de un documento (ejemplo de correos electrónicos de phishing reales a continuación). Los enlaces de estos correos electrónicos conducen a Storage.cloud.google.com, que es un servicio confiable de Google Cloud. Luego redirige a googleusercontent.com, donde los usuarios deben pasar un CAPTCHA falso creado para bloquear los escáneres de seguridad.
Finalmente, el enlace redirige a una página de inicio de sesión falsa de Microsoft, engañándolos para que revelen sus datos de inicio de sesión. Los atacantes capturan cualquier credencial que los usuarios ingresen en esta etapa, completando la cadena de phishing. Según se informa, la mayoría de las víctimas se encontraban en Estados Unidos: 48,6%. Alrededor del 19,6% de ellos trabajaba en el sector manufacturero/industrial, el 18,9% en tecnología/SaaS y el 14,8% en finanzas/banca/seguros. Después de Estados Unidos, estaban Asia-Pacífico (20,7%) y Europa (19,8%).
Por lo que vale, Google le dijo a Check Point que «varias campañas de phishing» que abusan de la integración de la aplicación Google Cloud ya estaban bloqueadas. “Es importante destacar que esta actividad surgió del abuso de una herramienta de automatización del flujo de trabajo, no de un compromiso de la infraestructura de Google. Si bien hemos implementado protecciones para defender a los usuarios contra este ataque específico, recomendamos mantener la precaución ya que los actores maliciosos con frecuencia intentan falsificar marcas confiables. Estamos tomando medidas adicionales para evitar un mayor uso indebido.,» el gigante tecnológico supuestamente dijo.
Fuente: Android Headlines