Ejemplo de phishing de Google Docs y algunas recomendaciones generales

Hace algunos días me encontré con un caso de phishing que buscaba robar contraseñas con una página falsa de Google Docs.

El engaño era muy evidente por la URL, la página falsa estaba colgada en un WordPress hackeado, pero el diseño era bueno y como ya sabemos muchas personas no prestan atención a las URLs donde ponen sus datos, por eso no es extraño que caigan.

phishing de google docs ejemplo
Phishing Google Docs

Además de solicitar la contraseña de Gmail para acceder, también permitía seleccionar otros servicios o proveedores como Hotmail para ingresar y por medio de JavaScript se aseguraban de que las víctimas escribieran correctamente las direcciones de correo (controlaban el arroba y demás).

Una vez que se introducían estos datos, se pasaba a otra página donde también pedían el número de teléfono o e-mail secundario, simulando una verificación de seguridad:

phishing google docs solicitando informacion

Al continuar se realizaba una redirección hacia la página real de Google Docs.

Actualmente este phishing ya fue desactivado, el propietario del sitio estaba al tanto de la situación y logró eliminarlo. Como suele ocurrir, descubrió que estaba infectado una vez que los filtros de seguridad de los navegadores comenzaron a bloquear su sitio.

En WordPress, si bien hay plugins que ayudan a mejorar la seguridad, con mantener todo actualizado -incluyendo themes y plugins- suele ser suficiente para evitar estos problemas, además es conveniente eliminar los themes y plugins que no se utilicen o estén desactivados. Lo recomendado es descargarlos desde las fuentes oficiales, un theme o plugin de pago que se descargue desde otro lugar para no pagar puede venir con regalos o tener vulnerabilidades sin solucionar que tarde o temprano generarán problemas.

En el servidor donde se aloje el sitio también es bueno evitar instalar programas web extraños o tener otros sitios desactualizados, porque por una vulnerabilidad en uno también podrían entrar a los otros para hacer modificaciones.

Informar que el sitio ya está limpio:

Si tu sitio es infectado con phishing, una vez que lo soluciones debes solicitar una revisión desde este formulario de Google (enviar las URLs con y sin www si se carga de las dos formas): https://www.google.com/safebrowsing/report_error/

Si todo está bien, de un día para el otro el sitio debería de quedar desbloqueado, también hay scanners online que pueden ayudar a detectar problemas como Sucuri.net/scanner/, Aw-snap.info/file-viewer/ y Virustotal.com, también se puede revisar en Phishtank.com que es un sitio exclusivo para denunciar phishing.

Los casos de phishing no se informan en la Search Console (ex Herramientas para webmasters de Google), por eso hay que solicitar la revisión desde el formulario que antes les comentaba.

Si en la Search Console aparece algún mensaje de infección en la sección de Problemas de seguridad, entonces la solicitud de revisión una vez que el sitio está limpio se debe enviar desde ahí. En caso de que no se pueda acceder a la Search Console o el mensaje no aparezca (en ninguna de las dos versiones con o sin www) se puede recurrir a Stopbadware.org que es un Partner de Google, enviando la solicitud desde ahí ellos lo revisarán y si todo está bien, se lo informarán directamente a Google para que el sitio sea desbloqueado.

2 comentarios en «Ejemplo de phishing de Google Docs y algunas recomendaciones generales»

  1. Son los usuarios, lo que pasa es que con WordPress tienes wordpress.com donde puedes crearte un blog gratis y ahí es muy difícil terminar infectado (es como Blogger.com).

    Y también tienes el software de WordPress que te lo puedes descargar desde https://wordpress.org para instalar en un servidor propio y tener control total. Con este último son los problemas porque se olvidan de mantener todo actualizado o instalan plugins o themes que no son muy confiables.

    Responder
  2. Hola SpamLoco. últimamente me ha llegado dos clases de phishing. Uno con un «Audio de Whastapp» que supuestamente no he escuchado y dos una «verificación de Gmail» que no he hecho. Lo que hago es notificar y eliminar ahí mismo pero fijándome en los links siempre es lo mismo. Un link que redirecciona a páginas que no saben que están infectadas con dominios en Rusia o Europa… A lo que voy es que siempre es «wp-admin», osea WordPress, siempre es en WordPress. ¿Acaso la misma plataforma no sabe que está siendo infectada? ¿Así de inseguro es WordPress o son los mismos usuarios los que la utilizan mal? :)

    Responder

Deja un comentario