En primer lugar, consideramos que esto es un abuso de las APIs de Google. Aunque a primera vista parece ser un ataque de phishing, los correos electrónicos provienen de Google y usted está ingresando al Google real.
HACKERS ACECHAN
Recomendaciones básicas para evitar un pishing como a Google
A fines de abril, Google y Facebook fueron víctimas de un mega fraude que les costó US$ 100 millones. Se trata de uno de los mayores robos de la historia. Las empresas fueron engañadas mediante la técnica de phishing, tal como se denomina a las diferentes técnicas que se usan para obtener información confidencial de forma fraudulenta. Ambas empresas abonaron el dinero pensando que estaban liquidando una factura a un fabricante taiwanés, pero en realidad estaban girando el dinero a Evaldas Rimasauskas, un hacker lituano, ahora detenido por fraude, suplantación de identidad y lavado de dinero, aunque él lo niega. Facebook afirma que recuperaron una gran parte del dinero pero no hay precisiones. Chester Wisniewski, principal investigador científico de Sophos, empresa líder en ciberseguridad, escribió el siguiente comentario sobre la noticia. El software antivirus y security free de Sophos es calificado en el Google Play con 4 estrellas y media sobre 5 posibles. En la nota se menciona la palabra OAut: Open Authorization, un estándar abierto que permite autorizar el ingreso de los desarrolladores informáticos independientes a una API (Application Programming Interface o Interfaz de Programación de Aplicaciones). Facebook y Google sólo admiten OAuth 2.0 como mecanismo de autenticación recomendado para todas sus API.
Los ataques a sistemas que están abiertos para que cualquier persona se registre como un desarrollador usando OAuth han sido vulnerables a este tipo de ataque durante mucho tiempo, y la responsabilidad recae en Google para hacer un mejor trabajo de verificación de los desarrolladores de aplicaciones. Esto no es diferente al abuso de Google Play Store de los autores de malware. Es muy poco lo que los individuos puedan hacer más allá de sospechar siempre acerca de los pedidos de legitimidad de los servicios provistos por Google, Twitter y Facebook y otros servicios online que usan OAuth con un programa de desarrollo de aplicación sin revisar.
Los usuarios de Twitter fueron atacados usando estas técnicas hace unos años. Desafortunadamente, Google también ha sido víctima de un vector de ataque similar. Cuando los usuarios ven los correos electrónicos oficiales de Google y las páginas de inicio de sesión oficiales que se utilizan en las estafas, esto lleva a la buena voluntad que Google ha acumulado de sus usuarios para ser potencialmente dañado. Todos los proveedores de OAuth tienen la responsabilidad de vigilar el uso de sus plataformas para impedir que los usuarios sean engañados a través de solicitudes oficiales de servicios como Google, Twitter y Facebook.
Sugerimos que los usuarios estén atentos a las redes sociales. Como demuestra el intento de "phishing" de Google Doc, Twitter es un gran sistema de alerta temprana. No hay duda de que las advertencias twitteadas salvaron a la gente de ser víctimas.
Como recordatorio, los usuarios deben chequear las aplicaciones que ellos han aprobado para que accedan a sus cuentas y eliminar cualquier cosa que pueda ser sospechosa de plataformas basadas en OAuth.
Para Google está en Cuenta de Google -> Sign-in & Security -> Connected apps & sites.
En Twitter y Facebook está en Settings & Privacy -> Apps.
Este tipo de ataques opera de la siguiente manera:
1. Recibes un email real de Google diciendo que alguien quiere compartir un archivo contigo.
2. Eres redireccionado a una página real de acceso de Google y te logueas
3. Recibes un aviso de que un “add on” quiere acceso a tus emails y contactos. El nombre del desarrollador es listado como “Google Docs”, pero podría decir cualquier cosa (aquí es donde Google podría hacer más para prevenir esto).
4. La única forma de intentar chequear si es real es clickeando en “Google Docs” y ver la cuenta actual creando el requerimiento, pero puede decir muchas cosas creíbles y no hay nada específico para mirar.
La única manera real de no ser víctima es no aceptar nunca conectar aplicaciones a tu cuenta que requieran acceder a tu cuenta o escribir tu email y contactos, o cualquier otra cosa que requiera acceso a menos que estés tratando específicamente de acceder a un nuevo servicio en el que todavía no eres capaz de confiar. Cuando estos ataques suceden son un buen recordatorio para revisar tus cuentas en las redes sociales y revisar a qué aplicaciones les diste permiso de acceder a tu información y eliminar el permiso si ya no confías o no utilizas esa aplicación puntual.
No te lo pierdas
CONSPIRACIONES