En Google Drive se pueden subir y compartir archivos HTML, JS y CSS para crear pequeñas páginas web públicas como este juego del ahorcado que hace algunos años hice con un compañero de clases.
El servicio está bueno porque cualquier usuario puede alojar una página de forma gratuita, pero como todo si es aprovechado por malas personas se podría convertir en un problema. De esto justamente es lo que habla Juan Manuel en su blog Mvdtechnology.
Google Drive podría ser aprovechado para montar páginas falsas como la siguiente:
La página se parece a Gmail, tiene el HTTPS verificado y se encuentra bajo un dominio de Google, es decir que a primera vista parece totalmente confiable, sin embargo es una página falsa montada por Juan Manuel como prueba de concepto.
Ya fue reportada al equipo de seguridad de Google y dieron el permiso de difundirla como alerta sobre este tipo de prácticas. Algunos dirán que con HTML y JavaScript no se pueden robar credenciales porque todo ocurre del lado del cliente, pero en realidad se puede hacer buscándole la vuelta, por ejemplo, con un simple iframe.
Con estas páginas se genera el mismo problema de los formularios de Google Drive (antes llamados Google Docs), pues al estar bajo un dominio de Google pueden pasar con facilidad los filtros anti-phishing y engañar a los usuarios que suelen darle una mirada rápida a las direcciones para saber si están en un sitio seguro.
Antes de ingresar cualquier contraseña hay que observar muy bien la barra de direcciones, sobre todo cuando los datos son solicitados luego de hacer clic en un enlace. En caso de dudas lo mejor es ingresar a la página de login escribiendo la dirección manualmente.
Las páginas alojadas en Google Drive tienen todas la misma estructura, sólo varían en un código intermedio y el nombre final del archivo:
https://googledrive.com/host/código-intermedio/nombre-del-archivo.html
Así que, si terminas en una página que solicita tu contraseña pero comienza con https://googledrive.com/host/ significa que estás en una página que no es la legítima.
Siempre que se vaya a iniciar sesión en algún servicio de Google las URLs deben comenzar por https://accounts.google.com