Hace algunos días me encontré con un caso de phishing que buscaba robar contraseñas con una página falsa de Google Docs.
El engaño era muy evidente por la URL, la página falsa estaba colgada en un WordPress hackeado, pero el diseño era bueno y como ya sabemos muchas personas no prestan atención a las URLs donde ponen sus datos, por eso no es extraño que caigan.
Además de solicitar la contraseña de Gmail para acceder, también permitía seleccionar otros servicios o proveedores como Hotmail para ingresar y por medio de JavaScript se aseguraban de que las víctimas escribieran correctamente las direcciones de correo (controlaban el arroba y demás).
Una vez que se introducían estos datos, se pasaba a otra página donde también pedían el número de teléfono o e-mail secundario, simulando una verificación de seguridad:
Al continuar se realizaba una redirección hacia la página real de Google Docs.
Actualmente este phishing ya fue desactivado, el propietario del sitio estaba al tanto de la situación y logró eliminarlo. Como suele ocurrir, descubrió que estaba infectado una vez que los filtros de seguridad de los navegadores comenzaron a bloquear su sitio.
En WordPress, si bien hay plugins que ayudan a mejorar la seguridad, con mantener todo actualizado -incluyendo themes y plugins- suele ser suficiente para evitar estos problemas, además es conveniente eliminar los themes y plugins que no se utilicen o estén desactivados. Lo recomendado es descargarlos desde las fuentes oficiales, un theme o plugin de pago que se descargue desde otro lugar para no pagar puede venir con regalos o tener vulnerabilidades sin solucionar que tarde o temprano generarán problemas.
En el servidor donde se aloje el sitio también es bueno evitar instalar programas web extraños o tener otros sitios desactualizados, porque por una vulnerabilidad en uno también podrían entrar a los otros para hacer modificaciones.
Informar que el sitio ya está limpio:
Si tu sitio es infectado con phishing, una vez que lo soluciones debes solicitar una revisión desde este formulario de Google (enviar las URLs con y sin www si se carga de las dos formas): https://www.google.com/safebrowsing/report_error/
Si todo está bien, de un día para el otro el sitio debería de quedar desbloqueado, también hay scanners online que pueden ayudar a detectar problemas como Sucuri.net/scanner/, Aw-snap.info/file-viewer/ y Virustotal.com, también se puede revisar en Phishtank.com que es un sitio exclusivo para denunciar phishing.
Los casos de phishing no se informan en la Search Console (ex Herramientas para webmasters de Google), por eso hay que solicitar la revisión desde el formulario que antes les comentaba.
Si en la Search Console aparece algún mensaje de infección en la sección de Problemas de seguridad, entonces la solicitud de revisión una vez que el sitio está limpio se debe enviar desde ahí. En caso de que no se pueda acceder a la Search Console o el mensaje no aparezca (en ninguna de las dos versiones con o sin www) se puede recurrir a Stopbadware.org que es un Partner de Google, enviando la solicitud desde ahí ellos lo revisarán y si todo está bien, se lo informarán directamente a Google para que el sitio sea desbloqueado.