jueves, 1 de julio de 2021

Cómo alojar un Phishing en los servidores de Google



Esta no es una primicia. No es la primera vez que los servicios de Google se utilizan para enviar trampas de Phishing de gran calidad a los usuarios de nuestra organización.

En este artículo analizaremos un nuevo ejemplo, donde Google facilita al ciberdelincuente los pasos técnicos más engorrosos del Phishing, dejando el engaño servido en bandeja de plata (o en un dominio con reputación intachable).

Paso a paso para hostear la trampa de Phishing

1. Elaborar y subir el código HTML

El primer paso que debe seguir el ciberdelincuente es generar el código HTML que desea alojar en Google Docs. Luego, debe subirlo como un archivo con extensión .html a su cuenta de Google Drive.

2. Publicar el sitio en Google Docs

Una vez cargado el archivo .html, debe hacer clic con el botón derecho sobre su ícono y abrirlo con Google Docs:


En Google Docs, debe seleccionar la opción Archivo > Publicar en la web:


Finalmente, tiene que seleccionar la opción Embed y Publicar:


3. Salir de pesca

Google ha realizado todo el trabajo duro. El ciberdelincuente ya tiene su sitio de Phishing hosteado en un dominio de gran reputación como el de Google Docs:


Sólo resta compartir la URL generada por Google a la víctima, y listo. ¡A pescar!

Implicancias

Un ciberdelincuente que siga estos pasos tiene el poder de clonar con facilidad la imagen de cualquier organización mediante contenido web de alta calidad.

A su vez, puede alojar este contenido de manera gratuita en los servidores de Google, en el dominio de docs.google.com, el cual goza de gran reputación y rara vez estará incluido en una lista negra. Bueno, es prácticamente imposible que lo esté.

Lo anterior significa también que las herramientas tecnológicas antiphishing no detectarán un enlace generado con este procedimiento como malicioso, y llegará sin problemas hasta la bandeja de entrada del usuario final.

Esto demuestra, una vez más, que los ataques evolucionan, los ciberdelincuentes son muy creativos, y en el 2021, ya no podemos depender únicamente de herramientas tecnológicas para combatir la ingeniería social. Por eso insistimos en la necesidad de invertir en el hardening de usuarios.

0 comentarios:

Publicar un comentario