MADRID, 18 Abr. (CIBERPRO) –
Nick Johnson, ingeniero de software, ha alertado sobre una reciente campaña de ‘phishing’ que simula ser de Google de tal manera que ni las protecciones de Gmail la han detectado.
El ‘phishing’ es una de las amenazas cibernéticas más frecuentes. Los atacantes imitan en sus correos electrónicos a empresas y entidades públicas conocidas por las víctimas, engañándolas para que realicen pagos, compartan información personal o descarguen archivos que contienen malware.
Una nueva campaña de ‘phishing’ ha llamado la atención por su habilidad para eludir los filtros de Google y Gmail, ya que los correos electrónicos enviados están firmados por Google y replican con gran precisión las comunicaciones de la compañía.
Johnson ha compartido un correo que recibió desde accounts.google.com, alertándole sobre una posible infracción de seguridad, y que incluía un enlace a una página de soporte con la dirección sites.google.com.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google’s infrastructure, and given their refusal to fix it, we’re likely to see it a lot more. Here’s the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
La página que se abría era un sitio de soporte falso, creado en Google Sites, la herramienta de Google que permite crear páginas web con un subdominio de Google. En esta, además, se pedía la carga de documentos adicionales o se redirigía a otra página para iniciar sesión, que nuevamente imitaba la página de Google.
Johnson ha señalado que, especialmente en lo que respecta al remitente del correo, se trata de lo que él describe como «un ataque de phishing extremadamente avanzado».
Una revisión más cuidadosa de la información del remitente le permitió descubrir que el correo en realidad provenía de una dirección privateemail.com. Para hacer que pareciera que era de Google, los atacantes registraron un dominio y crearon una cuenta de Google asociada. Luego, desarrollaron una aplicación Google Oauth, otorgando acceso a la cuenta de Google.
Este proceso resultó en el envío de un correo electrónico que parecía ser firmado por Google, tal como explica el ingeniero en un hilo en la red social X (anteriormente Twitter).
From there, presumably, they harvest your login credentials and use them to compromise your account; I haven’t gone further to check.
So how did they do it – especially the valid email? This is due to two vulnerabilities in Google’s infra that they have declined to fix.— nick.eth (@nicksdjohnson) April 16, 2025
A pesar de que Google inicialmente no tenía planes de corregir esta vulnerabilidad, Johnson ha afirmado que la compañía ha reconsiderado su decisión y que se encuentra trabajando en la solución del error de Oauth.
Outstanding news: Google has reconsidered and will be fixing the oauth bug!
— nick.eth (@nicksdjohnson) April 16, 2025
