Los atacantes están enviando correos electrónicos falsos muy convincentes de «Google» que burlan los filtros de spam, dirigen a las víctimas a través de varios servicios de confianza propiedad de Google y, finalmente, conducen a una página de inicio de sesión de Microsoft 365 muy similar, diseñada para recopilar nombres de usuario y contraseñas.
Investigadores descubrió que los ciberdelincuentes utilizaban Integración de aplicaciones de Google CloudLa función «Enviar correo electrónico» para enviar correos electrónicos de phishing desde una dirección legítima de Google: noreply-application-integration@google[.]com.
Google Cloud Application Integration permite a los usuarios automatizar los procesos empresariales conectando cualquier aplicación con configuraciones de tipo «apuntar y hacer clic». Los nuevos clientes reciben actualmente créditos gratuitos, lo que reduce la barrera de entrada y puede atraer a algunos ciberdelincuentes.
El correo electrónico inicial llega desde lo que parece ser una dirección real de Google y hace referencia a algo rutinario y familiar, como una notificación de correo de voz, una tarea por completar o permisos para acceder a un documento. El correo electrónico incluye un enlace que apunta a una URL auténtica de Google Cloud Storage, por lo que la dirección web parece pertenecer a Google y no parece ser una falsificación obvia.
Tras el primer clic, se le redirige a otro dominio relacionado con Google (googleusercontent[.]com) que muestra un CAPTCHA o una comprobación de imagen. Una vez que superas la comprobación «No soy un robot», llegas a lo que parece una página de inicio de sesión normal de Microsoft 365, pero si la examinas detenidamente, verás que la dirección web no es un dominio oficial de Microsoft.
Cualquier credencial proporcionada en este sitio será capturada por los atacantes.
El uso de la infraestructura de Google proporciona a los phishers un mayor nivel de confianza tanto por parte de los filtros de correo electrónico como de los usuarios receptores. No se trata de una vulnerabilidad, sino de un abuso de los servicios basados en la nube que ofrece Google.
Respuesta de Google
Google ha declarado que ha tomado medidas contra esta actividad:
«Hemos bloqueado varias campañas de phishing relacionadas con el uso indebido de una función de notificación por correo electrónico dentro de Google Cloud Application Integration. Es importante destacar que esta actividad se derivó del uso indebido de una herramienta de automatización de flujos de trabajo, y no de un compromiso de la infraestructura de Google. Si bien hemos implementado protecciones para defender a los usuarios contra este ataque específico, recomendamos mantener la precaución, ya que los actores maliciosos intentan con frecuencia suplantar marcas de confianza. Estamos tomando medidas adicionales para evitar nuevos usos indebidos».
Hemos visto varias campañas de phishing que abusan de los flujos de trabajo de confianza de empresas como Google, PayPal, DocuSign y otros proveedores de servicios basados en la nube para dar credibilidad a los correos electrónicos de phishing y redirigir a los destinatarios a sus sitios web de recolección de credenciales.
Cómo mantenerse seguro
Campañas como estas demuestran que parte de la responsabilidad de detectar los correos electrónicos de phishing sigue recayendo en el destinatario. Además de mantenerse informado, aquí hay algunos otros consejos que puede seguir para mantenerse seguro.
- Comprueba siempre la dirección web realde cualquier página de inicio de sesión; si no es un dominio auténtico de Microsoft, no introduzcas tus credenciales. El uso de un gestor de contraseñas te ayudará, ya que no rellenará automáticamente tus datos en sitios web falsos.
- Ten cuidado con los correos electrónicos «urgentes» sobre mensajes de voz, documentos compartidos o permisos, incluso si parecen provenir de Google o Microsoft. Crear urgencia es una táctica común de los estafadores y los phishers.
- Accede directamente al servicio siempre que sea posible. En lugar de hacer clic en los enlaces de los correos electrónicos, abre OneDrive, Teams o Outlook utilizando tu marcador o aplicación habitual.
- Utiliza la autenticación multifactorial (MFA) para que el robo de contraseñas por sí solo no sea suficiente, y revisa periódicamente qué aplicaciones tienen acceso a tu cuenta y elimina aquellas que no reconozcas.
Consejo profesional:Malwarebytes Guard puede reconocer correos electrónicos como este como estafas. Puedessubir textos, correos electrónicos, archivos adjuntos y otros archivos sospechosos y pedir su opinión. Es realmente muy bueno para reconocer estafas.
No sólo informamos de las estafas, sino que ayudamos a detectarlas.
Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Si algo te parece sospechoso, comprueba si se trata de una estafa con Malwarebytes Guard. Envía una captura de pantalla, pega el contenido sospechoso o comparte un enlace, texto o número de teléfono, y te diremos si se trata de una estafa o es legítimo. Disponible con Malwarebytes Premium para todos tus dispositivos y en la Malwarebytes para iOS Android.
