Cuidado: un nuevo fraude de phishing suplanta a Google con correos que parecen reales
Los correos electrónicos son una supuesta alerta de seguridad e imitan la página de soporte de Google.
El ingeniero de software Nick Johnson ha advertido sobre un nuevo fraude de phishing que suplanta a Google. Esta campaña llama la atención porque, en su momento, evitó todos los controles de seguridad por parte de Google y Gmail, debido a que los correos electrónicos enviados por parte de los ciberdelincuentes están firmados por la propia compañía de Mountain View, e incluso reproducen con bastante exactitud las comunicaciones internas de Google.
Para demostrarlo, Johnson ha compartido un correo electrónico enviado desde accounts.google.com que recibió en su bandeja de entrada. Dicho mensaje avisaba de una alerta de seguridad e incluía un enlace a una página de soporte con dirección a sites.google.com.
Tal y como explica en su perfil de la red social X (antes Twitter), la URL abierta era una falsa página de soporte, creada en la herramienta Google Sites, que facilita la creación de una página web con un subdominio de Google. Además, en ella, se solicitaba la carga de documentos adicionales o redirigía de nuevo a una página para iniciar sesión, que, de nuevo, replicaba a Google.
Este proceso fue posible porque los ciberdelincuentes registraron un dominio y crearon una cuenta de Google vinculada para conseguir que fuese real, asimismo, desarrollaron una aplicación de Google Oauth para dar acceso a la cuenta.
Johnson ha indicado que se trata de "un ataque de phishing extremadamente sofisticado" y, aunque la compañía de Mountain View no iba a corregir este fallo de seguridad, Google ha reconsiderado su postura para solucionar la situación.
Así puedes detectar los fraudes de phishing
El remitente del correo electrónico suele ser sospechoso y no coincide con la empresa real, los textos pueden añadir palabras o letras sin sentido, e incluso los mensajes suelen contener faltas de ortografía e incluso mezclan diferentes idiomas.
Para evitar caer en estos fraudes, es fundamental revisar siempre el origen de los mensajes y no proporcionar información personal sin verificar su autenticidad. Si hay dudas, lo mejor es consultar directamente con la empresa a través de sus canales oficiales, como su página web o redes sociales.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.