Google Docs, en la mira

En primer lugar, consideramos que esto es un abuso de las APIs de Google. Aunque a primera vista parece ser un ataque de phishing, los correos electrónicos provienen de Google y usted está ingresando al Google real.

Los ataques a sistemas que están abiertos para que cualquier persona se registre como un desarrollador usando OAuth han sido vulnerables a este tipo de ataque durante mucho tiempo, y la responsabilidad recae en Google para hacer un mejor trabajo de verificación de los desarrolladores de aplicaciones. Esto no es diferente al abuso de Google Play Store de los autores de malware. Es muy poco lo que los individuos puedan hacer más allá de sospechar siempre acerca de los pedidos de legitimidad de los servicios provistos por Google, Twitter y Facebook y otros servicios online que usan OAuth con un programa de desarrollo de aplicación sin revisar.

Los usuarios de Twitter fueron atacados usando estas técnicas hace unos años. Desafortunadamente, Google también ha sido víctima de un vector de ataque similar. Cuando los usuarios ven los correos electrónicos oficiales de Google y las páginas de inicio de sesión oficiales que se utilizan en las estafas, esto lleva a la buena voluntad que Google ha acumulado de sus usuarios para ser potencialmente dañado. Todos los proveedores de OAuth tienen la responsabilidad de vigilar el uso de sus plataformas para impedir que los usuarios sean engañados a través de solicitudes oficiales de servicios como Google, Twitter y Facebook.

Sugerimos que los usuarios estén atentos a las redes sociales. Como demuestra el intento de ‘phishing’ de Google Doc, Twitter es un gran sistema de alerta temprana. No hay duda de que las advertencias twitteadas salvaron a la gente de ser víctima.

Como recordatorio, los usuarios deben chequear las aplicaciones que ellos han aprobado para que accedan a sus cuentas y eliminar cualquier cosa que pueda ser sospechosa de plataformas basadas en OAuth. Para Google está en Cuenta de Google  -> Sign-in & Security -> Connected apps & sites. En Twitter y Facebook está en Settings & Privacy -> Apps.

Este tipo de ataques opera de la siguiente manera:

1 – Recibes un email real de Google diciendo que alguien quiere compartir un archivo contigo.

2 – Eres redireccionado a una página real de acceso de Google y te logueas.

3 – Recibes un aviso de que un ‘add on’ quiere acceso a tus emails y contactos. El nombre del desarrollador es listado como ‘Google Docs’, pero podría decir cualquier cosa (aquí es donde Google podría hacer más para prevenir esto).

4 – La única forma de intentar chequear si es real es clickeando en ‘Google Docs’ y ver la cuenta actual creando el requerimiento, pero puede decir muchas cosas creíbles y no hay nada específico para mirar.

La única manera real de no ser víctima es no aceptar nunca conectar aplicaciones a tu cuenta que requieran acceder a tu cuenta o escribir tu email y contactos, o cualquier otra cosa que requiera acceso a menos que estés tratando específicamente de acceder a un nuevo servicio en el que todavía no eres capaz de confiar. Cuando estos ataques suceden son un buen recordatorio para revisar tus cuentas en las redes sociales y revisar a qué aplicaciones les diste permiso de acceder a tu información y eliminar el permiso si ya no confías o no utilizas esa aplicación puntual.