Google repara una vulnerabilidad que hizo posible ayer un masivo y sofisticado ataque de phishing

Publicado el 4 mayo 2017 ¬ 17:22 pmh.mscComentarios desactivados en Google repara una vulnerabilidad que hizo posible ayer un masivo y sofisticado ataque de phishing

No abras mensajes de gente que no conozcas, no hagas clic en enlaces a sitios desconocidos y no utilices aplicaciones o servicios de compañías extrañas.

Estos tres simples consejos sirvan y bastan para evitar la mayoría de los infortunios que una persona puede sufrir a través de Internet, pero un grupo desconocido puso ayer en jaque a Google con una sofisticada campaña de phishing que logró saltarse las medidas de seguridad del gigante de Internet.

Los problemas comenzaron personas de todo el mundo recibieron mensajes aparentemente inocuos y firmados por contactos conocidos invitándoles a editar un archivo en Google Docs. Tras pinchar en el enlace, el usuario era dirigido a una pantalla de autentificación de Google real y legítima que después les pedía continuar a Google Docs. Al aceptar esa petición, el usuario proporcionaba los permisos necesarios al phis (una aplicación web identificada espuriamente como “Google Docs”) para acceder a su dirección de correo electrónico y la libreta de contactos asociada, que se añaden a la lista de objetivos.

El funcionamiento de este phis es sorprendentemente sofisticado en el sentido de que incluso usuarios prudentes y con cierta experiencia podrían morder (y de hecho mordieron) fácilmente el anzuelo, en gran medida porque el ataque no dirigía a sus víctimas a una página falsa, sino a un auténtico cuadro de permisos de Google. De alguna forma, los creadores del phis lograron aprovecharse de una vulnerabilidad en las defensas de Google que permitió de crear una aplicación maliciosa falsamente bautizada como Google Docs

Captura de pantalla de Zach Latta ilustrando el funcionamiento del ataque.

Google ha tardado menos de 24 horas en solucionar el desaguisado, pero el daño ya está hecho. “Hemos tomado medidas para proteger a los usuarios contra una campaña de spam por e-mail imitando Google Docs, que afectó a menos del 0,1% de los usuarios de Gmail. Hemos protegido a los usuarios frente a este ataque a través de una combinación de acciones automáticas y manuales, incluyendo eliminar las páginas y aplicaciones falsas, y enviando actualizaciones a través de Safe Browsing, Gmail y otros sistemas antiabuso”, se señala desde Google.

El hecho de que esta campaña de phishing utilizara una debilidad en Google en lugar de las típicas páginas ha permitido su rápida eliminación, pero los datos personales de un número indeterminado de usuarios puede estar ahora en manos de los atacantes.
Fuente: ArsTechnica

Ver información original al respecto en Fuente:
https://www.elotrolado.net/noticia_google-repara-una-vulnerabilidad-que-hizo-posible-ayer-un-masivo-y-sofisticado-ataque-de-phishing_31860

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies