En el día de ayer me enviaron una tarjeta virtual falsa «personalizada» para intentar robar mi contraseña de Google por medio de una página fraudulenta de Gmail (Phishing).
El correo recibido decía que me habían enviado una tarjeta postal y para verla debía hacer clic en un enlace, en realidad este enlace me redireccionaba hacia una página de Gmail falsa donde se solicitaba la contraseña para iniciar sesión, obviamente al hacerlo la información introducida era enviada a los ciberdelincuentes.
Captura del correo recibido:
Evitar hacer clic en los enlaces no solicitados es una regla de seguridad que debemos tener presente siempre, en este caso aplicarla hubiese anulado completamente el ataque. Pero puede suceder que el remitente del correo nos resulte familiar o simplemente queramos saber qué hay detrás del enlace porque su contexto nos parece normal… ante esta situación debemos tener precaución porque de todas formas podemos estar ante un engaño.
Como vemos en la imagen superior, el enlace de texto y su ruta no coinciden lo cual es bastante sospechoso, para determinar esto simplemente hay que colocar el puntero sobre el enlace y observar la barra inferior del navegador. La ruta es:
Aquí lo que se está intentado hacer es engañar al usuario para que piense que realmente se dirigirá hacia el portal de las Tarjetas Bubba, pero en realidad se lo estará dirigiendo hacia la página ****.info (los asteriscos fueron puestos a propósito por seguridad), todo lo anterior a ****.info simplemente está ahí para camuflar el destino real del enlace.
Captura de la página de Gmail falsa:
Cuando se hace clic en el enlace antes mencionado se accede a la siguiente página, a primera vista todo parece normal, salvo por algunos detalles…
En primer lugar debemos entender qué Gmail nunca nos pedirá nuestra contraseña luego de hacer clic en un enlace que llega por correo, la sesión ya estaba iniciada, nosotros no la cerramos y por lo tanto no hay razón para pedir la contraseña. Otra detalle que debemos tener en cuenta es el HTTPS en la barra de direcciones, este es un protocolo de seguridad que permite una comunicación segura entre nuestro navegador y el servidor donde se encuentra la página.
La mayoría de los sitios que requieren de un inicio de sesión lo utilizan para ofrecer mayor seguridad, Gmail lo implementa por defecto y por lo tanto antes de iniciar una sesión siempre aparece. Volviendo al ataque de phishing y su página falsa, si se introduce una S al final del HTTP la página muestra un error, no carga, lo cual indica claramente que en realidad no estamos ante la página verdadera de Gmail.
Lo interesante de esta URL falsa es que simula bastante bien a la original, a continuación podemos ver una comparación:
REAL: https://www.google.com/accounts/ServiceLogin?service…
FALSA: http://www.google.com.accountsservice.****.info/?service…
Como vemos en realidad el dominio de la página falsa es ****.info y no www.google.com, además incluye puntos para separar las palabras lo cual nos debería despertar alguna sospecha, es cierto que estas direcciones son algo extrañas y no es sencillo detectar la falsificación, pero son detalles que debemos tener presentes para evitar caer en este tipo de trampas.
Estos ataques suceden a diario con una infinidad de variantes, los más comunes se relacionan con instituciones financieras pero en realidad cualquier tipo de sitio puede ser clonado, por aquí puedes ver un ejemplo de Hotmail.
El origen de este ataque de phishing es una página que aloja toda una gama de herramientas para robar las contraseñas de los webmails más populares, son muy sencillas de utilizar y no requieren de ningún tipo de «conocimientos extras», los usuarios que las utilizan son conocidos como lamers y algunos personajes hasta las utilizan para ganar algo de dinero de formas muy mediocres.
Otros dos puntos importantes para mantener la seguridad en Gmail:
Utilizar el protocolo HTTPS durante toda la sesión y no sólo al iniciarla, esta opción se encuentra disponible en el área de configuraciones (más información aquí). Por último desde hace poco Gmail nos informa al final de la página si hay más sesiones abiertas y desde qué dispositivos e IPs se inician, esto es muy útil para determinar si alguien más está accediendo a nuestro correo (más información aquí), en caso de ser así o de sospecharlo lo ideal es cambiar la contraseña y la pregunta secreta.