El phishing con Google Apps Script

Los estafadores redirigen a los usuarios mediante Google Apps Script para evitar que los servidores de correo electrónico bloqueen los enlaces de phishing.

Para robar las credenciales de correo electrónico corporativas, los atacantes primero tienen que esquivar las soluciones contra el phishing en los servidores de correo electrónico de la empresa. Como regla general, utilizan servicios web legítimos para evitar ser percibidos; de hecho, Google Apps Script, una plataforma de script basada en JavaScript, se utiliza cada vez más para este fin.

¿Qué es Apps Script y cómo lo utilizan los atacantes?

Apps Script es una plataforma basada en JavaScript cuya función es automatizar las tareas en los productos de Google (por ejemplo, crear complementos para Documentos de Google), así como en aplicaciones de terceros. En resumen, se trata de un servicio para crear scripts y ejecutarlos en la infraestructura de Google.

En el phishing por correo electrónico, los atacantes utilizan este servicio para redirigir a los usuarios. En lugar de insertar la URL de un sitio web malicioso directamente en un mensaje, los ciberdelincuentes pueden plantar un enlace en un script. De esta forma, pueden esquivar las soluciones contra el phishing a nivel del servidor de correo: un hipervínculo que dirige a un sitio legítimo de Google con buena reputación es ignorado por la mayoría de los filtros. Como beneficio adicional para los ciberdelincuentes, los sitios de phishing que no sean detectados pueden permanecer activos por más tiempo. Esta estrategia también concede a los atacantes la flexibilidad de cambiar el script si fuera necesario (en caso de que las soluciones de seguridad se actualicen) y de experimentar con la entrega del contenido (por ejemplo, enviar a las víctimas versiones distintas del sitio dependiendo de su región).

Ejemplo de estafa con Google Apps Script

Lo único que los atacantes necesitan es lograr que el usuario haga clic en un enlace. Hace poco, el pretexto más común era el de “tu bandeja de entrada está llena”. En teoría, suena muy posible.

Un correo electrónico típico de phishing que utiliza la estafa de la bandeja de correo llena

Pero, en la práctica, los atacantes por lo general son más descuidados y dejan señales de fraude que deberían resultar obvias incluso para los usuarios que no están familiarizados con las notificaciones reales:

  • El correo electrónico parece provenir de Microsoft Outlook, pero el remitente de la dirección de correo electrónico tiene un dominio extraño. Una notificación real sobre una bandeja de entrada llena debería provenir del servidor interno de Exchange. (Además, al nombre del remitente, Microsoft Outlook, le falta un espacio y utiliza un cero en lugar de la letra “o”).
  • El enlace, que aparece al pasar el cursor sobre “Arreglarlo en los ajustes de almacenamiento”, dirige a un sitio de Google Apps Script:

El enlace del correo electrónico dirige a Google Apps Script

  • Las bandejas de entrada no exceden su límite de repente. Outlook comienza a advertir a los usuarios de los problemas de capacidad mucho antes. Por tanto, exceder ese límite en 850 MB sin haber recibido una alerta previa, probablemente significaría recibir esta cantidad de spam al mismo tiempo, lo cual es muy poco probable.

En cualquier caso, aquí te dejamos un ejemplo de una notificación legítima de Outlook:

Notificación legítima sobre una bandeja de entrada casi llena

  • El enlace “Arreglarlo en los ajustes de almacenamiento” redirige a un sitio de phishing. Aunque parezca una copia bastante convincente de la página de inicio de sesión de la interfaz web de Outlook, un simple vistazo a la barra de direcciones del navegador revela que la página está alojada en un sitio web falso, y no en la infraestructura de la empresa.

Cómo evitar morder el anzuelo

La experiencia muestra que los correos electrónicos de phishing no necesariamente tienen que incluir enlaces de phishing. Por lo tanto, una protección corporativa de confianza debe incluir funciones contra este tipo de estafa tanto a nivel del servidor de correo como en los ordenadores de los usuarios.

Asimismo, una protección responsable debe incluir formaciones continuas sobre sensibilización en materia de ciberseguridad para los empleados que cubran las ciberamenazas y estrategias de phishing actuales.

Consejos