Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Google Docs soluciona un sofisticado ataque de phishing




Los problemas comenzaron cuando usuarios recibieron mensajes aparentemente inocuos y firmados por contactos conocidos invitándoles a editar un archivo en Google Docs. Tras pinchar en el enlace, el usuario era dirigido a una pantalla de autentificación de Google real y legítima que después les pedía continuar a a "Google Docs". Al aceptar esa petición, el usuario proporcionaba los permisos necesarios al phishing (una aplicación web identificada espuriamente como "Google Docs") para acceder a su dirección de correo electrónico y la libreta de contactos asociada, que se añaden a la lista de objetivos.





El funcionamiento de este phishing es sorprendentemente sofisticado en el sentido de que incluso usuarios prudentes y con cierta experiencia podrían picar fácilmente el anzuelo, en gran medida porque el ataque no dirigía a sus víctimas a una página falsa, sino a un auténtico cuadro de permisos de Google. De alguna forma, los creadores del phishing lograron aprovecharse de extensión en las defensas de Google que permitió de crear una aplicación maliciosa falsamente bautizada como Google Docs.

El correo electrónico utiliza una técnica que un informe de Trend Micro vinculó la semana pasada a Pawn Storm, una campaña de espionaje en curso frecuentemente atribuida a operaciones de inteligencia rusas. El ataque utiliza la interfaz de autenticación OAuth, que también es utilizada por muchos servicios Web para permitir a los usuarios iniciar sesión sin utilizar una contraseña. Al abusar de OAuth, el ataque es capaz de presentar un cuadro de diálogo Google legítimo que solicita autorización. Sin embargo, la autenticación también pide permiso para acceder a "ver y administrar su correo electrónico" y "ver y administrar los archivos en Google Drive". 

El emisor de estos correos electrónicos ha sido siempre “hhhhhhhhhhhhhhhh@mailinator.com“, mientras que los destinatarios se encuentran incluidos todos en CCO.
 XXX has shared a document on Google with you
Algunos de los dominios utilizados para :

googledocs.docscloud.download
googledocs.docscloud.info
googledocs.docscloud.win
googledocs.g-cloud.pro
googledocs.g-cloud.win
googledocs.g-docs.pro
googledocs.g-docs.win
googledocs.gdocs.download
googledocs.gdocs.pro
googledocs.gdocs.win


 Es bastante complicado distinguir entre la página falsa y la verdadera, ya que ambas pertenencen al dominio google, y en realida ambas son reales, pero una es el signin y la otra es la instalación de una extensión signin/oauth

Página real:



 Página maliga de instalación de "Google Docs" para acceder a tu cuenta de forma fraudulenta.



"Google Docs" es en este  caso mas que una extensión maligna:

Pide permiso para "ver y administrar su correo electrónico" y "ver y administrar los archivos en Google Drive". 





Google ha tardado menos de 24 horas en solucionar el problema, pero el daño ya está hecho. "Hemos tomado medidas para proteger a los usuarios contra una campaña de spam por e-mail imitando Google Docs, que afectó a menos del 0,1% de los usuarios de Gmail. Hemos protegido a los usuarios frente a este ataque a través de una combinación de acciones automáticas y manuales, incluyendo eliminar las páginas y aplicaciones falsas, y enviando actualizaciones a través de Safe Browsing, Gmail y otros sistemas antiabuso", se señala desde Google.

Función de re-envío a modo de gusano:



¿Que és OAuth? Posibles robos de Token


OAuth es una forma de autorizar aplicaciones de terceros para iniciar sesión en cuentas de los usuarios para sitios de redes sociales, sitios de juegos y servicios como correo web gratuito. La gran ventaja es que los usuarios no tienen que revelar su contraseña; En su lugar, las aplicaciones de terceros obtienen un token que puede utilizarse para la autenticación.

Mientras que OAuth ofrece comodidad y puede aplicarse de manera útil de diferentes maneras, también puede exponer al usuario a riesgos. Los agentes de amenaza pueden obtener a través de las verificaciones de antecedentes que hacen los proveedores de servicios antes de autorizar las solicitudes para el uso de OAuth. Estos actores pueden entonces integrar OAuth en esquemas avanzados de ingeniería social. Algunos proveedores de servicios de Internet solo requieren una dirección de correo electrónico y un sitio web para que aplicaciones de terceros usen OAuth.

El hecho de que esta campaña de phishing utilizara una debilidad en Google en lugar de las típicas páginas ha permitido su rápida eliminación, pero los datos personales de un número indeterminado de usuarios puede estar ahora en manos de los atacantes.

La compañía ha declarado que han eliminado la cuenta, las páginas falsas que se encargaban de recopilar la información y han actualizado el portal de Safe Brownsing para evitar males mayores. El correo te llevaba a una web que aparentemente parecía ser la de Google Drive, y donde se pedía las credenciales de la cuenta para poder continuar.


Official statement:

We realize people are concerned about their Google accounts, and we’re now able to give a fuller explanation after further investigation. We have taken action to protect users against an email spam campaign impersonating Google Docs, which affected fewer than 0.1 percent of Gmail users. We protected users from this attack through a combination of automatic and manual actions, including removing the fake pages and applications, and pushing updates through Safe Browsing, Gmail, and other anti-abuse systems. We were able to stop the campaign within approximately one hour. While contact information was accessed and used by the campaign, our investigations show that no other data was exposed. There’s no further action users need to take regarding this event; users who want to review third party apps connected to their account can visit Google Security Checkup.

 Eliminar la extensión Google Docs malgina

Revisa los permisos de las aplicaciones

Aplicaciones (Apps) conectadas a tu cuenta
Si ve una llamada "Google Docs" (a pesar de tener aparetemente un nombre legítimo) debes borrarla.


GoPhishing: entrenar usuarios contra el Phishing

Muchas brechas de redes y sistemas de grandes corporaciones comienzan con un correo electrónico de Phishing bien diseñado y persuasivo. Las organizaciones y empresas para evitar estar brechas, deberían formar continuamente a su personal para detectar correos electronicos falsos y potencialmente maliciosos.

El Phishing consiste en el envío de correos electrónicos que simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que al ser pulsado, lleva a páginas Web falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que en realidad, va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un zombie, son utilizadas para el envió de Spam y Phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estés ataques.

Paliar los ataques de Phishing es posible con con Gophish, una herramienta para la simulación de ataques de Phishing. La idea detrás de Gophish es simple, poder realizar entrenamiento de técnicas de Phishing a grandes redes de corporaciones o empresas



Fuentes:
https://www.elotrolado.net/noticia_google-repara-una-vulnerabilidad-que-hizo-posible-ayer-un-masivo-y-sofisticado-ataque-de-phishing_31860
https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/
http://www.gurudelainformatica.es/2017/04/entrenar-usuarios-en-redes-corporativas.html 

1 comentarios :

Ibérica Race España dijo...

Muchas gracias. Aunque no tenía la llamada de "Google Docs" si tenía 5 sospechosas para mi, entre ellas un Juego de Google Play el cual hace más de un año que no Juego Ademas este Juego tenia permisos muy altos así que "Eliminado" junto a cuatro más.

Si volviera a utulizar alguna de estas "Extensiones" ya veré si le devuelvo los permisos y sopeso si merece la pena poner en riesgo mi Información Privada. La cual no quiero compartir a Grandes Empresas y menos tener una (Extensión Maliciosa o dañina) la Información es Poder.

Así que agradeceros esta revisión sobre una extensión maliciosa que me llevó a otras no utilizadas o poco Utilizadas y de dudosa reputación.

Tambien es cierto que GOOGLE cada cierto tiempo nos hace "revisar" estas y sus permisos, pero no sería la primera vez que hago caso omiso hasta ahora he tomado conciencia de los riesgos que corremos por desconocimiento y vagueza latente.

Muchisimas gracias

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.