Phishing en Gmail: se alertó hace seis años de la técnica utilizada

Hace seis años, en concreto el 4 de octubre de 2011, un investigador divulgó en una lista de correo que si alguien quería engañar a los usuarios para que le dieran acceso a sus cuentas de Google, solo tenía que presentar su trampa bajo la apariencia de una aplicación fiable.

Esta misma treta se empleó para comprometer aproximadamente un millón de cuentas de Gmail el pasado miércoles tres de mayo.

Lo más sorprendente es que este investigador que lanzó la alerta, André DeMarre, asegura haber advertido a Google de esta vulnerabilidad concreta en 2012. Es lo que se recoge en una información al respecto en el medio digital de divulgación tecnológica Motherboard.

Quienes comprometieron más de un millón de cuentas de Gmail el 3 de mayo siguieron los patrones descritos por el investigador en su advertencia a Google

Google defiende su labor asegurando a merca2 que “consultamos de forma regular a expertos ajenos a la empresa e impulsamos la participación” en un programa de detección de vulnerabilidades.

Aseguran además que “hacemos mejoras continuas no solo en los filtros de Gmail y de prevención del phishing, sino también para la detección de aplicaciones sospechosas”.

Nuestro filtro de prevención de phishing deja fuera millones de emails” infectados con esta técnica “a diario”, “la gran mayoría” de este tipo de correos “nunca llega a introducirse en la bandeja de entrada de los usuarios”, se justifica la compañía.

"Phishing Gmail alegoría"
Fotografía a modo de representación del ‘phishing’. /Stomchak (Wikimedia)

Una advertencia que resultó ser profética

André DeMarre publicó como ya se ha dicho un mensaje en 2011 en una lista de correo de la IETF (Internet Engineering Task Force, en inglés) una organización independiente responsable de muchos de los estándares utilizados en la Red.

De Marre nos pone con su escrito en situación. Imaginemos que “alguien registra una aplicación cliente con un servicio de OAuth, digamos Foobar, y llama a su aplicación de cliente ‘Google, Inc”.

De esta forma, explicó DeMarre, “el servidor de autorización de Foobar” puede comprometer al usuario al transmitirle que “Google, Inc. solicita permiso para hacer lo que sigue”.

«Alguien podría registrar una aplicación cliente con un servidor de OAuth y llamarla Google, Inc»

Acto seguido explica que “muchos de los servicios más conocidos de OAuth permiten a los desarrolladores de aplicaciones cargar imágenes que podrían ser el logo oficial de una organización a la que están suplantando”. Ello posibilitaría, si cabe, hacer aún más convincente el engaño.

DeMarre denunció en ese mismo texto que “los desarrolladores de aplicaciones pueden dar a menudo unas URI [una URL entraría en la categoría de URI] sin confirmar”.

El investigador termina de dibujar el escenario que nos plantea de la siguiente manera: dicho usuario (y potencial víctima) puede llegar a esta conclusión: “veo que estoy en el sitio de Foobar y Foobar me dice que Google solicita mi permiso. Como confío en Foobar y en Google, hago clic en ‘Permitir”.

«Como confío en Foobar y Google, hago clic en ‘Permitir»

Como ilustra Motherboard sintetizando las palabras del mencionado investigador, el tipo de ataque que se describe gira en torno no solo a la confianza que tantos y tantos usuarios tienen en Google sino a la confianza que también otorgan al proceso de autorización de OAuth.

OAuth es un estándar que permite a los usuarios conceder a sitios web y aplicaciones el acceso a sus cuentas de correo electrónico online y de redes sociales o al menos a parte de esas mismas cuentas sin tener que dejar sus correspondientes contraseñas.

Si lo contado por DeMarre “resulta familiar es porque se trata de algo bastante exacto a lo que puso en práctica aquel que consiguió engañar a un millón de personas para que dieran acceso a sus cuentas de Google a una aplicación llamada Google Doc”.

OAuth es un estándar que permite a los usuarios conceder a sitios web y aplicaciones el permiso para acceder a sus cuentas de correo electrónico

A esta conclusión con tono mordaz llegan en Motherboard aludiendo al ataque difundido el pasado miércoles tres de mayo.

Este medio tecnológico consiguió hablar con DeMarre de nuevo por lo sucedido ese mismo día. Relata que por aquel entonces recibió una respuesta de Google donde el gigante empresarial aseguraba que se estaba ocupando de ello “implementando medidas para la detección de abusos”.

Eso sí, respecto a la propuesta concreta de poner en marcha mecanismos dirigidos a verificar que las URL se corresponden con la información de marca que ha subido una determinada aplicación, Google manifestó que “no tenía intención de ponerlo en práctica”, algo que criticó el investigador.

Que vienen (otra vez) los rusos

Parece muy difícil por no decir imposible determinar cuántos han podido copiar en el último lustro el patrón de ataque descrito por este hombre que alertó a Google.

Lo que sí se sabe por lo publicado en PC World el pasado 25 de abril es que al grupo de hackers rusos conocidos con los nombres de Fancy Bear o Pawn Storm se les atribuye haber estado “entrando en cuentas de correo electrónico” ajenas.

Esto lo llevaban a cabo “engañando a sus víctimas para que les entregaran las claves”, mediante el empleo de la técnica del phishing.

El grupo de ‘hackers’ enviaba a sus víctimas un email que simulaba ser de Google

La trampa consistía en mandar un email que simulaba ser de Google con el asunto “tu cuenta está en peligro”. En PC World se puede ver un pantallazo con el mensaje.

Presentándose como el equipo de Gmail, afirmaban que habían detectado intentos de acceder ilegalmente a la cuenta de un determinado usuario. Para reforzar la seguridad, instaban a dicho usuario a instalar “la nueva aplicación oficial Google Defender”.

A este mismo grupo se les atribuye el ‘hackeo’ de los servidores de la Comisión Nacional Demócrata en Estados Unidos

Si quien resultaba afectado picaba el anzuelo, el engaño se consumaba. Este tipo de ataques se dieron entre 2015 y 2016. Aparte de Google Defender, Fancy Bear presentaba otras falsas aplicaciones bajo los nombres de Google Email Protection y Google Scanner.

Aparte de este tipo de campañas de phishing, el grupo Fancy Bear es considerablemente más conocido por su supuesto papel en el hackeo a los servidores del Comité Nacional Demócrata el año pasado en Estados Unidos.