Explotación de phishing de comentarios de Google Docs

Explotación de phishing de comentarios de Google Docs

Se ha generado una ola de ataques de phishing dentro de la solución de procesamiento de texto basada en la nube de Google (Documentos de Google) y su función “Comentarios”. Los atacantes utilizan la función de comentarios para enviar enlaces maliciosos a la bandeja de entrada de correo electrónico de cualquier persona. Lo que es peor, el comentario parece provenir de cualquier persona que los piratas informáticos quieran que sea. En otras palabras, un pirata informático puede enviarle un enlace malicioso de su mejor amigo en las redes sociales, y nada impide que ese correo electrónico llegue a su bandeja de entrada supuestamente enviado por su mejor amigo. Los piratas informáticos han llegado a miles de bandejas de entrada al explotar la función de este Google Doc según los informes en línea. Esta es una mina de oro para los hackers.

¿Como funciona?

Los piratas informáticos apuntan a los usuarios de Google Docs agregando un comentario a un documento que menciona al usuario objetivo con una “@”, que envía automáticamente un correo electrónico a la bandeja de entrada de esa persona. Ese correo electrónico, que proviene de Google, incluye texto y enlaces potencialmente maliciosos. Lo que hace que este ataque sea tan peligroso es que normalmente Google y Outlook filtran los enlaces maliciosos dentro de un correo electrónico entrante. Sin embargo, en estos ataques basados ​​en “comentarios”, los correos electrónicos de phishing eluden los puntos de control de seguridad del correo electrónico porque provienen de una fuente confiable, Google.

See also  Un bailarín en la azotea convierte un rascacielos de Nueva York en una pista de baile personal con vistas fascinantes

Nota al margen: los investigadores de seguridad informaron el mismo resultado al intentar explotar Google Slides, la aplicación de presentación de la suite.

Los mensajes de correo electrónico

Como se muestra a continuación en el mismo correo electrónico de prueba creado por CyberHoot, es difícil hacer su ‘lista de verificación de phishing’ adecuada cuando recibe estos correos electrónicos maliciosos; la dirección de correo electrónico del remitente no se muestra, solo el nombre del atacante, lo que permite a los malos actores hacerse pasar por entidades legítimas para atacar a las víctimas. Por ejemplo, un pirata informático puede crear una cuenta de Gmail gratuita, como [email protected] . Luego pueden crear su propio Google Doc, comentar y enviar lo que quieran a su objetivo previsto.

La intención maliciosa del comentario es difícil de detectar porque el usuario final no tendrá idea de si el comentario provino de [email protected] o [email protected] . El correo electrónico solo dirá “Johnny Hacker” lo mencionó en un comentario en el siguiente documento. Si ‘Johnny Hacker’ es un compañero de trabajo, parecerá legítimo. El correo electrónico contiene el comentario completo, junto con enlaces y texto, lo que significa que la víctima nunca tiene que ir al documento, la carga útil está en el propio correo electrónico.

Todo lo que se necesita es que los atacantes configuren una página de destino de inicio de sesión de Google falsa, de modo que cuando el usuario final haga clic en el enlace, se le pedirá que ingrese sus credenciales en el sitio de recopilación de credenciales de ‘Google’, enviando todo a los piratas informáticos.

See also  PlatinumGames quiere resucitar el juego de acción perdido Scalebound

Ataque de comentarios de Google Docs

El “ataque de comentarios” de Google Doc le permite falsificar a cualquiera, enviar cualquier cosa (maliciosa) a cualquier persona.

¿Qué hacer?

CyberHoot recomienda que los usuarios siempre cotejen la dirección de correo electrónico en el comentario para asegurarse de que sea legítimo antes de hacer clic en un comentario de Google Docs. Los usuarios pueden abrir el documento de Google y pasar el mouse sobre el nombre del comentarista para ver la dirección de correo electrónico completa con su nombre completo.

CyberHoot también recomienda que los usuarios finales siempre sigan las mejores prácticas al tratar con posibles correos electrónicos de phishing, como estar atentos a:

  • Mala ortografía o gramática
  • Correos electrónicos inesperados
  • Correos electrónicos con direcciones genéricas
  • Atractivos archivos adjuntos de correo electrónico
  • Se necesitan acciones urgentes de su parte
  • Contiene enlaces de aspecto extraño.

Recomendaciones adicionales de ciberseguridad

Además, estas recomendaciones a continuación lo ayudarán a usted y a su empresa a mantenerse seguros frente a las diversas amenazas que puede enfrentar en el día a día. Todas las sugerencias enumeradas a continuación se pueden obtener contratando los servicios de desarrollo del programa vCISO de CyberHoot.

  1. Gobierne a los empleados con políticas y procedimientos. Necesita una política de contraseñas, una política de uso aceptable, una política de manejo de información y un programa escrito de seguridad de la información (WISP) como mínimo.
  2. Capacite a los empleados sobre cómo detectar y evitar ataques de phishing. Adopte un sistema de gestión del aprendizaje como CyberHoot para enseñar a los empleados las habilidades que necesitan para tener más confianza, productividad y seguridad.
  3. Poner a prueba a los empleados con ataques de Phishing para practicar. Las pruebas de phishing de CyberHoot permiten a las empresas evaluar a los empleados con ataques de phishing creíbles y poner a aquellos que fallan en un entrenamiento de phishing correctivo.
  4. Implemente tecnología de ciberseguridad crítica, incluida la autenticación de dos factores en todas las cuentas críticas. Habilite el filtrado de correo no deseado, valide las copias de seguridad, implemente protección DNS, antivirus y antimalware en todos sus puntos finales.
  5. En la era moderna del trabajo desde casa, asegúrese de administrar los dispositivos personales que se conectan a su red validando su seguridad (parches, antivirus, protecciones de DNS, etc.) o prohibiendo su uso por completo.
  6. Si no ha tenido una evaluación de riesgos por parte de un tercero en los últimos 2 años, debería tener una ahora. Establecer un marco de gestión de riesgos en su organización es fundamental para abordar sus riesgos más atroces con su tiempo y dinero finitos.
  7. Compre un seguro cibernético para protegerlo en una situación de falla catastrófica. El seguro cibernético no es diferente al seguro de automóvil, incendio, inundación o vida. Está ahí cuando más lo necesitas.
See also  Las CPU y GPU se volverán aún más caras en 2022
bullfight-doc
bullfight-doc