Alguien accedió a tu Gmail desde otra ubicación, podría ser un engaño

Hace algunos días en el Laboratorio de Investigación de ESET Latinoamérica encontramos un caso de phishing enfocado a usuarios de Gmail y que menciona como técnica de Ingeniería Social la característica “Última actividad de la cuenta”, que implementa Google, para alertar a los usuarios en caso de un inicio de sesión inusual proveniente de un dispositivo extraño y un país lejano a la persona. En este post se analiza este caso y cómo los atacantes intentan seducir a la potencial víctima.

El correo electrónico fraudulento simula provenir de “Seguridad Gmail” y llega a la cuenta del usuario con el asunto “recientemente se accedió a tu cuenta desde una ubicación que no has utilizado nunca”. Al analizar el correo, el primer aspecto que a simple vista nos llamó la atención es el hecho que el mensaje haya sido clasificado como correo electrónico no deseado (spam) por el propio sistema de Gmail. Asimismo, al observar la dirección del remitente resulta altamente sospechoso que no tenga relación alguna con Google. Si un usuario no es precavido y obvia ambos aspectos, tanto el texto como el sitio lucen bastante genuinos. A continuación, se muestra una captura del mensaje (hacer clic sobre la imagen para agrandarla):

Correo phishing Gmail
Leyendo el texto es posible observar cómo los atacantes intentan seducir a la potencial víctima de cualquier forma. En primer lugar, y suponiendo que el usuario no ha accedido a su cuenta desde otras ubicaciones o equipos, el texto lo urge a visitar un enlace para posteriormente seguir unas supuestas instrucciones para “controlar la información de tu cuenta”. Anteponiéndose al caso que la persona sí utilice Gmail desde múltiples destinos o dispositivos, los cibercriminales mencionan que de todos modos será necesario ingresar al enlace para “recuperar la cuenta”. Finalmente se vuelve a mostrar otro enlace con más información supuestamente proveniente del “Centro de Ayuda”.

El correo falso incluye en tres ocasiones, el enlace malicioso que dirige al usuario al sitio fraudulento. Cabe destacar el tercer intento (hipervínculo) en donde los atacantes utilizaron como texto una dirección que luce bastante real (dominio accounts.gmail.com), sin embargo, tal como lo muestra la captura, no es más que un enlace camuflado. Tanto el correo como el sitio que utiliza el engaño están escritos íntegramente en español, lo que permite establecer como grupo objetivo a todos aquellos usuarios de habla hispana. En caso que se siga el enlace, se cargará un sitio que luce de este modo:

Sitio phishing Gmail

Al tratarse de un sitio clonado, la página se ve genuina, sin embargo, inmediatamente la dirección que aparece en el navegador resulta sospechosa si se considera que pertenece a un dominio ajeno a Google y que tampoco se está utilizando el protocolo HTTPS que suele suceder al iniciar sesión en una cuenta de Gmail. En el caso de completar la información, el sitio malicioso redirige al usuario hacia el portal legítimo de Google. De acuerdo a todo lo analizado se pueden obtener tres consejos:

  • La función “Última actividad de la cuenta” sí existe, sin embargo, esta debe accederse yendo al final de la página de Gmail y posteriormente haciendo clic en “Detalles” que aparece después de la frase Última actividad de la cuenta. La siguiente captura muestra este procedimiento (hacer clic en imagen para agrandarla):

Actividad de cuenta de Gmail

  • Nunca debe accederse a cuentas de ningún tipo siguiendo un enlace. Al situar el cursor (mouse) sobre el enlace aparecerá el hipervínculo real. En esta línea se recomienda la lectura del post Descubriendo enlaces engañosos.

Finalmente, cabe destacar que los productos de ESET detectan el sitio fraudulento utilizado en este phishing y lo bloquean para evitar que el usuario pueda ingresar sus datos. Asimismo, invitamos a las personas a reportar a ESET cualquier sitio que pueda tratarse de phishing. Las instrucciones pueden ser consultadas en el artículo de la KB ¿Cómo puedo reportar un sitio “phishing”?.

André Goujon
Especialista de Awareness & Research

Autor , ESET

Síguenos