Gmail és incapaç de detectar una sofisticada campanya de 'phishing' que suplanta a Google
Logotip de Gmail.
L'enginyer de programari Nick Johnson ha advertit sobre una campanya de phishing que suplanta Google d'una manera tan realista que ni tan sols l'han detectada les proteccions de Gmail.
El phishing és una de les amenaces de ciberseguretat més comunes. Els ciberdelinqüents supleixen en els seus missatges, principalment enviats a través de correu electrònic, empreses i organismes públics coneguts per les víctimes, a qui enganyen perquè facin pagaments, comparteixin informació personal o descarreguin arxius que amaguen programes maliciosos.
Una campanya de phishing recent ha cridat l'atenció per eludir els controls de Google i Gmail, ja que els correus que envia estan signats per la mateixa Google, i fins i tot reprodueix amb força fidelitat les comunicacions que envia aquesta companyia.
En concret, Johnson ha compartit un 'email' enviat des d'accounts.google.com que va rebre a la safata d'entrada, que avisava d'una alerta de seguretat i que incloïa un enllaç a una pàgina de suport amb adreça sites.google.com.
La pàgina que obria era una pàgina de suport falsa, creada a Google Sites, l'eina de Google que facilita la creació d'una pàgina web amb un subdomini de Google. A més, se sol·licitava la càrrega de documents addicionals o es redirigia de nou a una pàgina per iniciar sessió, que de nou replicava la de Google.
L'enginyer ha explicat que, especialment pel que fa al correu electrònic des del qual s'ha enviat, forma part del que ha anomenat "un atac de phishing extremadament sofisticat".
Un cop d'ull més atent a la informació de l'emissor el va permetre comprovar que en realitat s'havia originat en una adreça privateemail.com. Per aconseguir que semblés que provenia de Google, els atacants van registrar un domini i van crear un compte de Google vinculat. Posteriorment, van crear una aplicació Google Oauth, donant accés al compte de Google.
Aquest procés va donar com a resultat l'enviament d'un correu electrònic firmat per Google mateix, com explica l'enginyer de programari en un fil compartit a la xarxa social X (antiga Twitter).
Encara que Google no corregiria inicialment aquest error de seguretat, Johnson assegura que Google ha reconsiderat la seva postura i solucionarà el 'bug' d'Oauth.