Phishing de Gmail, Andreita me envió una postal

En el día de ayer me enviaron una tarjeta virtual falsa «personalizada» para intentar robar mi contraseña de Google por medio de una página fraudulenta de Gmail (Phishing).

El correo recibido decía que me habían enviado una tarjeta postal y para verla debía hacer clic en un enlace, en realidad este enlace me redireccionaba hacia una página de Gmail falsa donde se solicitaba la contraseña para iniciar sesión, obviamente al hacerlo la información introducida era enviada a los ciberdelincuentes.

Captura del correo recibido:

correo falso phishing

Evitar hacer clic en los enlaces no solicitados es una regla de seguridad que debemos tener presente siempre, en este caso aplicarla hubiese anulado completamente el ataque. Pero puede suceder que el remitente del correo nos resulte familiar o simplemente queramos saber qué hay detrás del enlace porque su contexto nos parece normal… ante esta situación debemos tener precaución porque de todas formas podemos estar ante un engaño.

Como vemos en la imagen superior, el enlace de texto y su ruta no coinciden lo cual es bastante sospechoso, para determinar esto simplemente hay que colocar el puntero sobre el enlace y observar la barra inferior del navegador. La ruta es:

http://www.tarjetasbubba.com.ver-tarjeta.****.info/vc.php…

Aquí lo que se está intentado hacer es engañar al usuario para que piense que realmente se dirigirá hacia el portal de las Tarjetas Bubba, pero en realidad se lo estará dirigiendo hacia la página ****.info (los asteriscos fueron puestos a propósito por seguridad), todo lo anterior a ****.info simplemente está ahí para camuflar el destino real del enlace.

Captura de la página de Gmail falsa:

Cuando se hace clic en el enlace antes mencionado se accede a la siguiente página, a primera vista todo parece normal, salvo por algunos detalles…

pagina falsa de gmail

En primer lugar debemos entender qué Gmail nunca nos pedirá nuestra contraseña luego de hacer clic en un enlace que llega por correo, la sesión ya estaba iniciada, nosotros no la cerramos y por lo tanto no hay razón para pedir la contraseña. Otra detalle que debemos tener en cuenta es el HTTPS en la barra de direcciones, este es un protocolo de seguridad que permite una comunicación segura entre nuestro navegador y el servidor donde se encuentra la página.

La mayoría de los sitios que requieren de un inicio de sesión lo utilizan para ofrecer mayor seguridad, Gmail lo implementa por defecto y por lo tanto antes de iniciar una sesión siempre aparece. Volviendo al ataque de phishing y su página falsa, si se introduce una S al final del HTTP la página muestra un error, no carga, lo cual indica claramente que en realidad no estamos ante la página verdadera de Gmail.

Lo interesante de esta URL falsa es que simula bastante bien a la original, a continuación podemos ver una comparación:

REAL: https://www.google.com/accounts/ServiceLogin?service…
FALSA: http://www.google.com.accountsservice.****.info/?service…

Como vemos en realidad el dominio de la página falsa es ****.info y no www.google.com, además incluye puntos para separar las palabras lo cual nos debería despertar alguna sospecha, es cierto que estas direcciones son algo extrañas y no es sencillo detectar la falsificación, pero son detalles que debemos tener presentes para evitar caer en este tipo de trampas.

Estos ataques suceden a diario con una infinidad de variantes, los más comunes se relacionan con instituciones financieras pero en realidad cualquier tipo de sitio puede ser clonado, por aquí puedes ver un ejemplo de Hotmail.

El origen de este ataque de phishing es una página que aloja toda una gama de herramientas para robar las contraseñas de los webmails más populares, son muy sencillas de utilizar y no requieren de ningún tipo de «conocimientos extras», los usuarios que las utilizan son conocidos como lamers y algunos personajes hasta las utilizan para ganar algo de dinero de formas muy mediocres.

Otros dos puntos importantes para mantener la seguridad en Gmail:

Utilizar el protocolo HTTPS durante toda la sesión y no sólo al iniciarla, esta opción se encuentra disponible en el área de configuraciones (más información aquí). Por último desde hace poco Gmail nos informa al final de la página si hay más sesiones abiertas y desde qué dispositivos e IPs se inician, esto es muy útil para determinar si alguien más está accediendo a nuestro correo (más información aquí), en caso de ser así o de sospecharlo lo ideal es cambiar la contraseña y la pregunta secreta.

15 comentarios en «Phishing de Gmail, Andreita me envió una postal»

  1. Hola, a mi me acaba de llegar este correo y solo quiero compartirlo como un intento mas de robo de contraseñas de gmail.

    ————————————–
    —– Original Message —–
    From: activate.acount services
    To: (mi cuenta)@gmail.com
    Sent: Friday, May 15, 2009 4:31 PM
    Subject: ¡ ULTIMO AVISO ! SU CUENTA ESTA DESACTIVADA

    Hola (mi cuenta),

    Le informamos que desde el 01-05-09 hemos estado haciendo una campaña de antirobo.
    Usted como miembro de gmail.com, tendra que validar su cuenta para descartar el posible caso robo de identidad, de lo contrario desactivaremos
    esta cuenta y con ella todo lo activado desde esta cuenta.

    Al activar su cuenta recibira los resultados de la activacion por e-mail confirmando su identidad.

    Usuario: (mi cuenta)@gmail.com
    contraseña: *************

    ACTIVAR CUENTA

    Atentamente,
    servicio de activacion gmail.
    num id: 0005478056

    ——————————————

    El enlace que aparece abajo donde dice "ACTIVAR CUENTA" es:

    (editado)

    indagando un poco veo que son tan descarados que la página que imita a Gmail está hospedada en un hosting gratuito (t35.com), si alguien entra verá al pie de la página fraudulenta los avisos de texto que pone el hosting gratuito y el icono del mismo a la derecha.

    Por otra parte, llegó tal como se indica arriba, con asteriscos que simulan mi contraseña…. lo gracioso del caso es que mi contraseña tiene 12 dígitos y allí hay 13 dígitos….

    Bueno, solo quería compartirlo en este foro porque buscando en Internet no encontré a nadie que hubiera recibido un correo similar a este.

    La moraleja es la de siempre, jamás escribir una contraseña en una página que se abra desde un enlace recibido por correo electrónico, esa es toda la precaución que hay que tomar, tan sencillo como eso.

    Saludos,
    José Gregorio

    Responder
  2. Buenas a mi me acaba de pasar exactamente lo mismo el problema es que cai en la trampa, tengo la url del xploit, Habra forma de darse cuenta revisando el codigo de a que destinatario le llegaron mis dato? Ayuda

    Responder
  3. pUFF Como se lo curra la gente para hacer daño!!habrá que estar atentos! Aunque yopara eso soy bastante precavido, en cuanto veo algo raro- eliminar- y punto.! La curiosidad mato al gato!!

    Responder
  4. Guarda!
    El otro dia mi padre me reenvio un correo alertandome que Google nos avisaba que había que renovar la cuenta de Adwords (nosotros tenemos Adsense, así que no cabía posibilidad de renovar algo que no tenemos, pero mi viejo eso no lo tenía tan claro) y los fenomenos levantaban el logo de Google desde la misma página de google!
    Unos kamikazes del hotlinking!

    Enseguida le avisé que era Pishing pero la URL era muy bien hecha, la cosa por lo que veo se complica cada vez más, y en el ejemplo de la postal se puede ver eso…

    saludos!

    Responder
  5. :D interesante, yo también soy de los que no hago clics a lo que sea, primero me aseguro :P, y este tipo de ataques siempre se encuentran.
    Cada vez más astutos los hackeos phishing :S

    Responder
  6. Jaja, me hiciste recordar de una vez que le cambiaron la contraseña del correo a un amigo (de un servicio de correos de acá, adinet.com.uy, hoy en día ya ni se usa) y me llama… no para pedirme ayuda, sino para preguntarme «fuiste vos?, decime la verdad».

    Por supuesto, yo no había sido. :D

    Responder
  7. Ah, pero te tenés que sentir honrado, te mandaron una que imita las URLs como ninguna! Lo más gracioso es que te dejaron un kit para divertirte con tus amigos ahora :P

    Responder

Deja un comentario