Фрагмент листування з шахраями / Zach Latta
Zach Latta, programador y fundador de la comunidad Hack Club, denunció un intento de secuestro de una cuenta de con datos reales Google.
Los estafadores consiguieron llamar a la víctima desde el número de teléfono de Google que aparece en el sitio web oficial de asistencia y, a continuación, enviar un correo electrónico desde el subdominio oficial. No está claro cómo los atacantes pudieron acceder a los datos de Google.
La mujer, que se presentó como Chloe, llamó a Latta desde el número 650-203-0000 con un identificador de llamada de «Google». Cómo dice en la página de asistencia, el Asistente de Google utiliza este número para realizar llamadas automáticas, por ejemplo, para hacer reservas o comprobar el tiempo de espera en un restaurante.
«Hablaba como una verdadera ingeniera, la conexión era clarísima y tenía acento americano», — dice el programador.
Los estafadores, que se hacían pasar por el servicio de asistencia de Google Workspace, advirtieron de que habían bloqueado la cuenta de Latta porque alguien había iniciado sesión desde Fráncfort. Su marido sospechó inmediatamente que se trataba de un intento de fraude. Pidió confirmación por correo electrónico.
Sorprendentemente, los hackers respondieron «sí» y enviaron un correo electrónico desde el subdominio real g.co, propiedad de Google. El correo electrónico, que era indistinguible del real, no mostraba signos de suplantación de identidad y pasaba DKIM, SPF y DMARC (protocolos de autenticación de correo electrónico que comprueban el correo electrónico en busca de ataques de suplantación de identidad y phishing). Según Google, g.co es un subdominio oficial destinado «sólo a sitios web de Google».
«Puedes estar seguro de que siempre te llevará a un producto o servicio de Google», — dice la página del dominio.
Los estafadores explicaron que la cuenta probablemente fue pirateada a través de una extensión de Chrome. Prepararon cuentas falsas de LinkedIn como prueba de que trabajaban para Google. «Chloe» intentó que la víctima facilitara uno de los tres números que aparecían en su teléfono para restablecer su cuenta y acceder a ella.
«Lo loco es que si hubiera seguido dos «mejores prácticas»: verificar el número de teléfono + hacer que te envíen un correo electrónico desde un dominio legítimo, me habría visto comprometido», escribe Latta.
Zach Latta publicado todas las pruebas y grabó la conversación tras convencerse de que se trataba de un fraude. Google aún no se ha pronunciado públicamente sobre el caso, el sitio web Cybernews se puso en contacto con la empresa para hacer comentarios.
No está claro cómo los estafadores han podido acceder a importantes funciones y subdominios de Google. Los comentaristas especulan con la posibilidad de que los atacantes hayan obtenido algunos datos de la cuenta de Google que les den acceso parcial a las funciones, pero siguen necesitando saltarse la autenticación multifactor para secuestrar las cuentas.