Falsa notificación de Google Drive usada para robar credenciales

El robo de credenciales es una actividad delictiva que los delincuentes llevan realizando desde hace muchos años. Sin embargo, las estrategias para obtener las contraseñas de sus víctimas también van evolucionando y durante los últimos meses estamos asistiendo a un notable incremento de las amenazas que tienen esta finalidad. Entre las tácticas utilizadas por los delincuentes se encuentra la suplantación de servicios de alojamiento de ficheros gratuitos, algo que vamos a revisar a continuación con el análisis de un caso reciente.

Supuesta descarga de ficheros

Como ya hemos indicado, los mensajes de correo invitándonos a descargar algunos ficheros supuestamente importantes desde alguno de los servicios más conocidos es una de las técnicas que está empleando los delincuentes desde hace algún tiempo para hacerse con credenciales de todo tipo. Ya hemos visto con anterioridad casos en los que se suplantaba la identidad de Dropbox y WeTransfer o, como en esta ocasión, la de Google Drive.

Todo comienza con la recepción de un correo electrónico donde se nos indica que una persona de nombre genérico y que trabaja en una empresa que puede ser real o inventada nos ha enviado algunos ficheros mediante Google Drive. Tal y como ya hemos visto en casos similares anteriores, los delincuentes utilizan un logo parecido al del servicio suplantado para tratar de hacer el email más creíble.

Según la breve descripción proporcionada, entre estos ficheros se encontrarían documentos relacionados con algún tipo de propuesta comercial, por lo que si este correo llega a manos de algún usuario que trabaje en el departamento comercial o administrativo de alguna empresa que realice importación o exportación de productos, es probable que muerda el anzuelo y quiera comprobar de que documentos se trata.

En ese caso, si dispone de una solución de seguridad como ESET instalada en su sistema, lo que vería tras pulsar sobre el botón del email que invita a descargar estos ficheros sería una advertencia indicando que se está tratando de acceder a un sitio web identificado como phishing.

Además, el propio email también puede ser detectado como spam por lo que los usuarios que lo recibieran estarían avisados del peligro que supone este correo y el enlace al que redirige.

Robo de credenciales

En el caso de que la víctima no detecte la suplantación de identidad, será redirigida a una web donde podemos observar lo que, supuestamente son archivos relacionados con las especificaciones de un producto y una supuesta confirmación de un pedido. A pesar de resultar unos archivos bastante genéricos, es probable que más de un usuario caiga en la tentación de tratar de abrir alguno de ellos.

En el caso de que se pulse sobre alguno de los supuestos archivos veremos como aparece una ventana emergente solicitando la introducción de las credenciales necesarias para poder descargarlas. Debido a que no se especifica que credenciales se están solicitando, es posible que la víctima pruebe varias de las que usa en servicios de todo tipo y pueden incluir desde las credenciales de su cuenta de Google hasta las del correo electrónico donde recibió el mensaje original.

En cualquier caso, tras introducir estas credenciales, a cambio solo se mostrará una ventana de alerta indicando que ha habido dificultades técnicas a la hora de realizar la descarga de los archivos solicitados.

Obviamente, estos archivos nunca estuvieron disponibles y tan solo se trataba de un cebo para conseguir que la víctima cayese en la trampa. Con las credenciales obtenidas, los delincuentes pueden realizar todo tipo de acciones maliciosas que pueden afectar tanto al usuario que recibió el correo como a la empresa donde trabaja, sus clientes y proveedores. Pueden, por ejemplo, lanzar campañas dirigidas a otros empleados usando el correo de la víctima o tratar de acceder a otros servicios donde se utilicen las credenciales robadas para robar información.

Conclusión

A pesar de que se trata de un ataque poco elaborado y fácil de detectar no debemos subestimar el daño que se puede causar con unas credenciales robadas si estas caen en malas manos. Es por eso que debemos revisar siempre donde introducimos nuestras credenciales, evitando seguir enlaces enviados por email y contar siempre que sea posible con un doble factor de autenticación que impida el acceso a nuestras cuentas solo con el usuario y la contraseña, además de contar con una solución de seguridad que sea capaz de reconocer estas campañas de phishing.

Josep Albors

Correos con supuestas facturas usados para propagar el malware Formbook