Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/06/2012
Denuncien l'ús de Google Docs per a realitzar estafes de phishing
Investigadors de seguretat de Sophos han recopilat diversos casos de ciberestafes que utilitzaven Google Docs per a robar dades. Els cibercriminals creen documents senzills en el sistema ofimàtic virtual per a enganyar els usuaris, guanyar-se la seua confiança per comptar amb un URL de Google i robar les seues dades.
Les estafes amb pesca electrònica són aquelles en què els cibercriminals utilitzen la imatge i l’estil d’una pàgina web, companyia o entitat per a intentar enganyar els usuaris. Normalment, este tipus d’estafes sol estar enfocada al robatori de dades. Els ciberdelinqüents que utilitzen el sistema de pesca perseguixen que els usuaris introduïsquen les seues dades, pensant que estan en un web real, i després vulnerar comptes, realitzar càrrecs amb targetes o, simplement, vendre la informació en el mercat negre.
Fins ara s’han vist casos de pesca de tota classe. Des d’estafes que simulen la imatge d’un banc fins a pantalles d’enllaç que porten a suposades pàgines d’accés a xarxes socials. Este tipus d’estafes sol tindre un punt dèbil: l’URL. Si els usuaris s’hi fixen, la majoria de les vegades les adreces d’eixes pàgines web no es corresponen amb les autèntiques, i això fa que es puguen identificar.
Els ciberdelinqüents han buscat una fórmula per a guanyar-se la confiança dels usuaris en relació amb les adreces web i sembla que l’han trobada. En concret, els investigadors de seguretat de Sophos han explicat a través del bloc Naked Security que han descobert diversos casos d’estafes de pesca en què s’ha utilitzat Google Docs.
Els cibercriminals utilitzen el servici d’ofimàtica en lína de Google per a crear plantilles i després enviar-les amb diverses excuses als usuaris. Fent-se passar per servicis de control de correu o de xarxes socials, els ciberdelinqüents mentixen als usuaris assegurant que les seues dades han sigut extraviades, els seus comptes compromesos o que, per una revisió, han de tornar a introduir les seues dades.
Els usuaris són readreçats als formularis de Google Docs, de manera que els ciberdelinqüents aprofiten la confiança en l’URL de Google per a no provocar sospites. No obstant això, quan s’omplin estos formularis es comprometen les dades i els comptes dels usuaris.
La recomanació per a previndre este tipus d’estafes és no confiar en missatges o adreces de correu electrònic sospitosos, sobretot els que provenen de destinacions no conegudes. L’ús de Google Docs per a este tipus d’estafes és un altre motiu més per a extremar les precaucions de seguretat.