Acabo de recibir el que, quizás, sea el caso de pishing mejor hecho que he visto.
Normalmente los casos de pishing1 son muy cutres: se huelen a kilometros, muestran información mal traducida, te dan supuesta información que la empresa debería conocer de ti pero de forma equivocada (por ejemplo dirigirse a ti desde una empresa que no eres cliente o con datos que ésta no debería tener).
Sin embargo el siguiente caso de pishing pasa prácticamente desapercibido:
Parece un mail supuestamente equivocado (no va dirigido a ti). En el que una supuesta persona se niega a cooperar (o seguir cooperando) y por tanto se requiere otro posible portador. Y por último adjunta un attachment.
A simple vista uno pensaría que se han equivocado en la dirección y la imagen adjunta podría ser información "seria" (documentos legales, incluso información clasificada). ¿Quién no tendría el morbo de leer a ver de que va el asunto?.
Sólo que el fichero adjunto NO es un fichero adjunto. Es una firma simulando un fichero adjunto. Si se intenta entrar redirecciona a accounts (dot) googg1e (dot) com + una serie de parametros que identifican desde donde proviene el click:
ServiceLogin?service=mail&5ce9bccabe6774b597205d64dc458c52&rm=a3e17d51a2c5bb17c3150ca17619837a&continue=/mail/&scc=1<mpl=default<mplcache=2&hl=mksgfFBamX0hQK90
Si se entra directamente al dominio obtendréis un error 500 pero si añadis los parametros de identificación (bajo vuestro propio riesgo) os encontraréis con una sorpresa. Es una página exacta a la de Google cuando nuestra sesión de Gmail ha caducado o entramos a Gmail.com.
Incluso el enlace de "New in Gmail? CREATE AN ACCOUNT" apunta a accounts.google.com junto al resto de enlaces
como el de About Gmail, New Features, etcétera. Lo único que, en apariencia, falla es el uso de http en lugar de
https, que en España tendría que salir en castellano en lugar de en inglés y el dominio.
Por supuesto el formulario para volver a hacer LOGIN es lo único que no redirecciona a accounts.google.com si no que recoge los credenciales y además intenta meter un fichero al PC.
Si lo pensáis no está nada mal hecho: estás en GMAIL, ves que te envían un correo con una imagen y al intentar abrirlo resulta que se ha cerrado la sesión y piensas que habrá caducado las cookies. Si no te fijas en la URL siempre que vayas a hacer login en una página y la escribes tú a mano (un buen hábito de seguridad por cierto) te la han colado y bien.
Y lo mejor de todo es que este correo no lo detecta (aún) Google como fraudulento o spam.
-
Correos falsos haciéndose pasar por empresas (normalmente bancos) para solicitar información privada y sobretodo la relacionada a permisos (usuarios y contraseñas normalmente) para posteriormente pasar a realizar compras (caso de las tarjetas de crédito) o sacar dinero todo ello de forma fraudulenta. ↩
Comentarios