En Oxford, una de las mejores universidades del mundo, se ha dado una interesante situación relacionada con el phishing y los formularios de Google Docs.
Ante una campaña que buscaba robar las contraseñas de los correos que utilizan estudiantes, profesores y otros miembros bajo el dominio de la universidad, decidieron bloquear el acceso al servicio durante unas dos horas y media.
Uno de los formularios falsos que recibieron los usuarios se puede apreciar en la siguiente captura:
Una vez que los atacantes obtenían el acceso a un correo lo utilizaban para engañar a más usuarios dentro de Oxford y enviar correo basura a todo el mundo. El atractivo de estas cuentas justamente es ese, utilizarlas para enviar spam desde los propios servidores de la universidad.
Ahora bien ¿por qué han optado por bloquear a Google Docs? ¿esa es la solución al problema? Tomaron la medida cuando detectaron que un gran número de cuentas ya estaban comprometidas y los mensajes se enviaban a muchos de los estudiantes.
Fue una situación extrema y al parecer era lo único que podían hacer en el momento. No sólo buscaban proteger a los usuarios, sino también al sistema de correos… pues si desde sus servidores se envían grandes cantidades de correos no deseados podrían ser bloqueados por los filtros antispam (por ejemplo de Hotmail y Gmail) lo cual sería un gran problema para la universidad.
En el blog del equipo de seguridad de Oxford se han publicado los detalles de la situación y algo que llamó la atención de muchos es que culpan de cierta forma a Google por no eliminar los formularios falsos de forma rápida.
En parte puede que tengan razón, Google Docs se utiliza en campañas de phishing desde hace años y muchas veces se lo ha criticado por ello. Pero el phishing es algo que está en constante evolución, así como utilizan Docs podrían utilizar muchos otros servicios similares.
La solución pasa por otro lado y es algo que muchos comentaron en el blog de Oxford. Algunos sugieren implementar un sistema de doble autenticación para acceder a las cuentas, otros mejorar los filtros e incluso una persona llamada Chris recomienda que todos los que cayeron en la trampa tengan que asistir a un curso de entrenamiento para recuperar sus cuentas, algo que me parece una muy buena idea.
Según Robin Stevens del equipo de seguridad de la universidad, ya han realizado campañas de educación, limitado la cantidad de e-mails que se pueden enviar por cuenta e incluso días antes de este incidente enviaron un aviso de seguridad a todos los usuarios.
Todas estas medidas ayudaron, pero no son la solución definitiva dado que siempre hay personas que van a caer en estos engaños por simples que parezcan. Lo bueno de todo esto es que van a seguir trabajando para mejorar la infraestructura y muchos ya aprendieron la lección… no hay que ingresar contraseñas en los formularios de Google Docs!