Gmail + Google Calendar: miles de millones de usuarios en peligro por «scam sofisticado»

138

Gmail por un lado, con más de 1.5 mil millones de usuarios y Google Calendar con más de mil millones de descargas en la Play Store, ahora investigadores han advertido esta semana de que hackers están orquestando ataques de robo de credenciales gracias a explotación de una función dentro Google Calendar.

Lo que han denominado «scam sofisticado» pone en peligro a los usuarios de Gmail, ya que están siendo atacados principalmente a través del uso de notificaciones maliciosas y no solicitadas directo a Google Calendar. De esta forma, cualquier persona puede programar una reunión contigo, explotando la función principal de la popular aplicación de calendario.

Dicha invitación está diseñada para incluir un enlace malicioso, luego al añadir a la víctima se enviará una notificación emergente a su teléfono (el cuál no pasará por un filtro de SPAM/SCAM).

Investigadores de Kaspersky han notado que a lo largo del último mes se utilizó esta técnica para eludir el filtro de SPAM de Gmail y de esta forma hacer phishing a los usuarios. Anunciando una encuesta o cuestionario con incentivo financiero al participar, los hackers alientan a la víctima a dar clic al enlace malicioso donde se pueden recopilar los datos de la cuenta bancaria o de la tarjeta de crédito.

No es sólo un ataque de phishing

El problema no sólo se dirige a un ataque común de phishing, sino que abre «las puertas a una gran cantidad de ataques de ingeniería social» dijo Javvad Malik, defensor de la concienciación de la seguridad en KnowBe4 a Forbes. Un atacante podría enviar una invitación al guardia de seguridad de un edificio para poder acceder a un área restringida.

También existe la posibilidad de que los atacantes puedan enviar archivos adjuntos con malware a sus víctimas, aumentando cada vez más el riesgo de hacer muchos más ataques el cual es seguro que no pasará por un filtro y se notificará a la víctima para que caiga.

¿Qué se recomienda para disminuir el riesgo?

Kaspersky advierte a los usuarios desactivar la adición automática de invitaciones al calendario desde «Configuración de eventos» en el calendario de Google y deshabilitando la opción «Agregar invitaciones automáticamente» y luego habilitar la opción «Sólo mostrar invitaciones a las que he respondido». Además, recomienda que «Mostrar eventos rechazados» en la sección de Opciones de vista también se deje sin marcar.

Al desactivar la adición automática de eventos en su calendario puede que sea impráctico, ya que muchos dependen de esta programación, pero será más seguro para que no sea hackeado. Deberá también cuestionar todos los correos electrónicos e invitaciones que reciba, ya que debe estar al tanto de cualquier tipo de señal inusual. Si es posible, mantener contacto de quién haya enviado la invitación para confirmar que todo está correcto.

También, como lo hemos dicho en nuestra publicación sobre el phishing, no haga clic en cualquier enlace o archivo adjunto que reciba. El escepticismo es el arma principal para combatir con los ataques en las redes sociales, canales de comunicación y sitios web en general.

El fallo tiene casi dos años de haber sido publicado

El blog de seguridad informática, Black Hills Information Security expusieron el método en el 2017. Los investigadores Beau Bullock y Michael Felch revelaron en su publicación el cómo se podía explotar la técnica de invitación en Google Calendar. En la divulgación, también se detalla que se informó a Google sobre la vulnerabilidad y respondieron agregando silenciosamente una opción para deshabilitar la funcionalidad de notificación.

Los investigadores también encontraron una manera de evadir esta función, y después de la divulgación pública y el uso de la vulnerabilidad en la Wild West Hackin’ Fest este año, Google se contactó con los investigadores afirmando que no se había hecho ningún arreglo, ya que crearía inconvenientes de funcionalidad para los eventos API de Google Calendar.

Por supuesto, se deja en evidencia que la experiencia de usuario es más importante que la seguridad de millones de usuarios.

Fuente Kaspersky Daily Black Hills Information Security
Vía Forbes

¡Necesitamos de tu ayuda!

Los ingresos por publicidad van cada vez más en picada, los sitios independientes como el nuestro son los más afectados. Nos hemos visto la necesidad de encontrar otras formas para continuar en funcionamiento.

Nuestro principal compromiso es el de mantener nuestro contenido libre e independiente, lo que significa que no existen publicaciones promocionadas, publicidad molesta ni tarifas de suscripción.

Si te gusta lo que hacemos y deseas apoyarnos, podrías considerar contribuir al proyecto con una remuneración monetaria a modo de donación, para que podamos seguir en línea:

Comentarios

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo con esto, pero puedes optar por no hacerlo si lo deseas. AceptarLeer más