Nueva campaña de phishing: Hackers aprovechan Google Docs para atacar

Uno de los tácticas favoritas de los cibercriminales es explotar productos legítimos con fines ilegítimos. Y cuanto más popular sea el producto, mayores son las posibilidades de éxito. Un nuevo informe publicado el jueves por el proveedor de seguridad de correo electrónico, Avanan, examina una nueva campaña de phishing que abusa de una función popular en Google Docs para enviar correos electrónicos maliciosos.

Para facilitar la colaboración en los mismos documentos, Google Docs ofrece una función de comentarios. Al agregar un comentario a un documento, puedes incluir la dirección de correo electrónico de la persona a la que quieres asignar una tarea relacionada. Esa acción luego activa un correo electrónico para la persona asignada.

En esta campaña particularmente engañosa, los atacantes agregan un comentario a un documento de Google y mencionan al objetivo escribiendo el símbolo @ seguido de una dirección de correo electrónico. Sin embargo, el comentario completo incluye un enlace malicioso que activará una infección de malware si se activa a través del correo electrónico enviado.

Descubiertos por Avanan en diciembre de 2021, los ataques han afectado principalmente a usuarios de Microsoft Outlook, pero también han afectado a destinatarios en otras plataformas de correo electrónico. Hasta ahora, más de 500 buzones han sido objetivo en 30 organizaciones diferentes, con los hackers utilizando más de 100 cuentas de Gmail diferentes.

Este tipo de campaña de phishing puede pasar desapercibida para las defensas de seguridad tradicionales debido a algunas razones clave.

Primero, el correo electrónico en sí proviene de un servicio legítimo de Google, por lo que es probable que evite su detección y sea confiable para los usuarios a primera vista.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Segundo, el correo electrónico solo incluye el nombre de visualización del atacante y no su dirección de correo electrónico, lo que significa que los filtros antispam pueden no detectarlo. Y dado que el hacker puede suplantar el nombre de un colega o contacto de confianza, es más probable que el destinatario caiga en el engaño.

Tercero, la víctima ni siquiera tiene que acceder al documento, ya que la carga útil maliciosa se encuentra únicamente en el correo electrónico. El atacante ni siquiera necesita compartir el documento, ya que simplemente mencionar la dirección de correo electrónico del destinatario en el comentario será suficiente.

Avanan señaló que informó a Google sobre esta explotación el 3 de enero a través del botón "Reportar Phishing por Correo Electrónico" en Gmail. Sin embargo, los usuarios aún deben estar atentos a este ataque. Para ayudar a las personas a protegerse de esta estafa, Avanan ofrece los siguientes consejos:

Consejos para Protegerse de esta Campaña de Phishing:

  1. Antes de hacer clic en un comentario de Google Docs en un correo electrónico, verifica que la dirección de correo electrónico en el comentario sea legítima.
  2. Ten en cuenta los hábitos habituales de ciber higiene, como examinar los enlaces y buscar errores gramaticales.
  3. Si desconfías de un correo electrónico en particular con un comentario de Google Docs, ponte en contacto con el remitente real para verificar si te enviaron el comentario.
  4. Asegúrate de que tú y tu organización utilicen una protección de seguridad sólida, especialmente en los servicios de intercambio y colaboración de archivos.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nueva campaña de phishing: Hackers aprovechan Google Docs para atacar , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.