Atacantes que disfrazan el phishing como notificaciones de AppSheet de Google

Los ciberdelincuentes han comenzado a aprovechar el servicio legítimo de AppSheet de Google para implementar campañas de phishing que tienen como objetivo atacar los datos personales y las credenciales de los usuarios. A continuación, te mostramos cómo esto es posible y qué debes hacer para proteger tus cuentas.

Atacantes que disfrazan el phishing como notificaciones de AppSheet de Google

Las campañas de phishing se han vuelto significativamente más complejas y convincentes en los últimos años. Las direcciones de los remitentes ahora son casi idénticas a las reales, los correos electrónicos están escritos sin errores y usan el nombre de los usuarios. Pero ¿qué se hace cuando un correo electrónico sospechoso proviene de una dirección de correo electrónico que es claramente legítima?

Últimamente, los autores de phishing han estado utilizando la plataforma de AppSheet de Google para programar envíos masivos de correos electrónicos que provienen de una dirección oficial vinculada a Google. Después de un ataque exitoso, se llevan las cuentas y la información confidencial de sus víctimas.

En esta publicación, desglosamos cómo funciona este nuevo esquema de robo de datos y cómo protegerte de estos astutos ataques de phishing.

Google te ofrece un trabajo. O Coca-Cola. O quizás Volvo. Pero ¿es real?

AppSheet es un servicio de Google para crear aplicaciones sin contar con conocimientos de codificación. Las pequeñas empresas lo utilizan con frecuencia para automatizar flujos de trabajo de rutina. Por desgracia, es esta sencillez lo que hace que AppSheet sea tan atractivo para los ciberdelincuentes. Todo lo que se necesita para llevar a cabo una estafa de phishing hoy en día son unos pocos euros y una aplicación improvisada con comandos y bloques prefabricados.

El manual de estrategias para los ataques de phishing en AppSheet es bastante común y corriente. La víctima recibe un correo electrónico de parte de una empresa importante. Estos mensajes a menudo comienzan dirigiéndose al destinatario por su nombre. Pareciera que los atacantes están analizando datos filtrados para hacer coincidir los nombres con direcciones de correo electrónico específicas.

Luego, los atacantes apelan a las emociones del destinatario, recurriendo ya sea a la amenaza o a la recompensa. Puede que asusten a la víctima con advertencias urgentes que necesitan una acción inmediata (por ejemplo, “Su cuenta se desactivará pronto” o “Se detectó actividad sospechosa”). O bien, la atraen con un cebo irresistible, como prometer una insignia de verificación o una invitación a una entrevista de un gigante de la tecnología. Estos correos electrónicos falsos de RR. HH. están diseñados para dar a las víctimas un subidón de adrenalina inmediato. Hacen creer al destinatario que su solicitud ya fue tramitada de forma prioritaria y recibió una evaluación muy favorable,insinuando que podría recibir una oferta de empleo muy pronto.

Para la mayoría de las personas, estos mensajes no activan ningún tipo de alerta. El correo electrónico evade por completo la carpeta de spam y el campo De muestra el nombre exacto de la empresa que esperan ver. El problema es que nada de esto garantiza que el correo electrónico sea auténtico, los atacantes pueden poner lo que quieran en el nombre que se muestra. Y seamos honestos, muy pocas personas se detienen a analizar la dirección de correo electrónico del remitente.

En las campañas de phishing basadas en AppSheet, el remitente es siempre el mismo: noreply{@}appsheet.com. Pero aquí está la verdadera sorpresa: esa dirección es 100 % legítima. Como se vincula directamente a la propia infraestructura de Google, es muy probable que los filtros antispam estándar den luz verde a estos correos electrónicos sin cuestionarlos.

Naturalmente, para asegurar esa entrevista codiciada o arreglar su cuenta, la víctima hace clic en el enlace y luego entrega toda su identidad digital por voluntad propia en un sitio web falso: nombre completo, dirección, número de teléfono, etc. A partir de ahí, los atacantes pueden vender los datos recopilados en la dark web o convertirlos en armas para ataques secundarios y dirigidos. Por si fuera poco, se redirige a la víctima a una página de inicio de sesión falsa, lo que permite a los atacantes robarle la cuenta.

A continuación, se detalla paso a paso cómo una víctima pasa de recibir un correo falso del portal de empleo de Google a tener su cuenta completamente vulnerada:

Correo electrónico de phishing que supuestamente proviene de Google Careers, enviado a través de la plataforma AppSheet
¡Saludos, candidato! ¿Por qué no haces clic en el enlace a nuestro sitio de Google ficticio para programar una entrevista?
Un sitio falsificado con un diseño indistinguible del original
El enlace del correo electrónico conduce a un sitio falso con un diseño indistinguible del original. Se le solicita al usuario que rellene un formulario con su nombre completo, correo electrónico de trabajo, número de teléfono y la fecha que prefiere para tener la entrevista.
Un mensaje que solicita a la víctima que inicie sesión con sus credenciales de Google
Una vez que la víctima completa el formulario, ve un mensaje donde se le pide que inicie sesión con sus credenciales de Google. Todos estos datos van directamente a los atacantes.

 

También se lanzan campañas de phishing similares en nombre de otras grandes marcas de tecnología, y los usuarios que introducen sus datos de Apple se arriesgan a perder no solo su cuenta, sino también el control de todos sus dispositivos Apple. Los atacantes podrían presionar a la víctima para que cierre la sesión de su Apple ID personal y acceda a una “cuenta corporativa” para su verificación, que en realidad es una cuenta de Apple de su propiedad. Al hacerlo, los delincuentes toman el control remoto completo del dispositivo usado, y a menudo utilizan el Modo perdido para bloquear el acceso de la víctima y exigir el pago de un rescate por su teléfono.

Para empeorar las cosas, los atacantes no siempre envían un enlace malicioso en el primer correo electrónico, sino que apuestan al largo plazo: atrapan al objetivo en una conversación al pedirle que responda y confirme su interés. Este pretexto crea la ilusión de que están hablando con un reclutador real. Y este manual de estrategias tampoco se limita exclusivamente a Silicon Valley. Los atacantes con frecuencia se hacen pasar por marcas conocidas a nivel mundial, como Volvo o Coca-Cola. Por supuesto, es muy poco probable que los atacantes quieran la cuenta de Coca-Cola de alguien, si es que el usuario siquiera tiene una. Lo más probable es que el objetivo sea robar datos confidenciales o convencer al usuario de que inicie sesión en un formulario de phishing con sus credenciales de Google, Apple, Facebook, etc.

Correo fraudulento que supuestamente proviene de Coca-Cola, enviado a través de la plataforma AppSheet
Un "miembro del equipo de RR. HH." de Coca-Cola se pone en contacto para elogiar a la víctima y destaca de manera exagerada su experiencia y logros, así como su capacidad analítica y creatividad. Los atacantes mantienen la finalidad en secreto a propósito, ya sea que eso signifique dirigir a la víctima hacia un sitio de phishing, tomar el control total de la cuenta o ejecutar una estafa económica
Correo fraudulento que supuestamente proviene de Volvo, enviado a través de la plataforma AppSheet
Un correo electrónico similar que finge ser del equipo de selección de talento de Volvo

 

¿Quieres una verificación de Meta?

Por supuesto, los “trabajos de ensueño” no son el único cebo que se utiliza. Hemos visto campañas en las que el “Soporte de Facebook” se pone en contacto para decirle a un usuario que cumple con los requisitos para recibir la prestigiosa insignia de Meta Verified, una marca de verificación azul que suele estar reservada para celebridades de primer nivel y marcas globales. Para obtener la codiciada marca de verificación azul, la víctima accede a una página de phishing donde se le pide que rellene un formulario de identidad antes de entregar el premio principal: su nombre de usuario y contraseña de Facebook. Y todo ello, por supuesto, en nombre de la seguridad.

Estos sitios falsificados están disponibles en una amplia variedad de idiomas y se adaptan a los usuarios de diferentes países. A continuación se muestra la versión en holandés.

Oferta de un sitio falso de Facebook para obtener una insignia de Meta Verified
Para obtener la marca de verificación azul, el usuario debe proporcionar "información adicional". Si te excedes unos días de la fecha límite, la oferta caducará
Oferta de un sitio falso de Facebook para obtener una insignia de Meta Verified
Después de que la víctima rellena los campos habituales (nombre, número de teléfono, correo electrónico personal y de trabajo, y fecha de nacimiento), un mensaje le solicita que introduzca su contraseña de Facebook

 

En otras campañas, los atacantes abusan de AppSheet de Google para usar el pánico como arma. Intentan inquietar al usuario afirmando que ha violado la política de propiedad intelectual de Meta y amenazan con cerrar permanentemente su cuenta de Facebook. Para apelar, la víctima debe hacer clic en un enlace que lleva a un sitio de phishing, proporcionar su información personal y, por supuesto, introducir su nombre de usuario y contraseña de Facebook.

Sitio falso de Meta donde el usuario puede apelar la desactivación de la cuenta
En aras de la credibilidad, no solo se le pide al usuario que complete campos con información personal, sino que también describa en detalle por qué la decisión de cerrar la cuenta fue un error
Sitio falso de Meta donde el usuario puede apelar la desactivación de la cuenta
Por último, se le solicita al usuario que confirme la solicitud de apelación iniciando sesión en "Facebook". En realidad, la víctima está abiertamente entregando sus credenciales a los atacantes

Cómo detectar el phishing y proteger tus cuentas

Lamentablemente, los ataques de phishing se están volviendo cada vez más complejos, y los atacantes a menudo se aprovechan de la reputación de servicios y dominios legítimos. Aquí te indicamos cómo evitar caer en sus trampas y proteger tus datos:

  • Recuerda que no todos los correos electrónicos de phishing acaban en la carpeta de spam. Los filtros de spam estándar en los clientes de correo electrónico a menudo no detectan ataques avanzados, y el caso de AppSheet es un claro ejemplo de ello. Para evitar caer en la trampa sin querer, usa Kaspersky Premium en todos tus dispositivos. Intercepta los correos electrónicos de phishing y bloquea los enlaces a sitios web falsos en el acto, incluso si el atacante se oculta detrás de un dominio completamente legítimo. Además, la versión para Android puede detectar enlaces maliciosos y de phishing en mensajes desde cualquier aplicación.
  • Revisa el correo electrónico para ver si hay errores tipográficos extraños. Para evitar que los mensajes activen las alarmas, los atacantes suelen discretamente insertar espacios adicionales o intercambiar caracteres. Mira este ejemplo de uno de los correos electrónicos que encontramos: S o port e  de  Fac eb o ok en lugar de Soporte de Facebook.
  • Antes de realizar cualquier acción en un sitio web, compara cuidadosamente su nombre de dominio con la dirección oficial. Los actores maliciosos suelen crear direcciones que solo parecen reales hasta que observas con suficiente atención. Instala Kaspersky Premium para asegurarte de que nunca termines en un sitio falsificado.
  • Primero revisa la dirección del remitente, no solo el nombre que se muestra. Si un correo electrónico dice ser de Google Careers, RR. HH. de Apple o Soporte de Facebook, pero la dirección del remitente apunta a AppSheet u otro servicio no relacionado, ni siquiera te molestes en leer el mensaje. Esa discrepancia de dominio es un claro indicio de que estás frente a un fraude. Compara las direcciones de correo electrónico con las que figuran en los sitios web oficiales de las empresas.
  • Busca las firmas de correo electrónico. Por ejemplo, todos los correos electrónicos enviados a través de AppSheet incluyen una nota de divulgación en la parte inferior. Es mucho más probable que recibas una notificación de AppSheet legítima de una pequeña empresa o negocio, pero definitivamente no de un gigante de la tecnología. Las grandes corporaciones suelen utilizar sus propios dominios para sus correos electrónicos.
  • Usa un administrador de contraseñas. Incluso si terminas en un sitio falsificado e intentas introducir tu contraseña, un administrador de contraseñas fiable te notificará sobre la diferencia en los dominios y se negará a autorrellenar tu nombre de usuario y contraseña.
  • No te olvides de la autenticación de dos factores. Si está activada, el solo hecho de tener tu nombre de usuario y contraseña no ayudará a los atacantes a acceder a tu cuenta; también necesitarán un código de un solo uso. Sin embargo, es posible que intenten engañarte para que también proporciones el código, así que ten más cuidado cada vez que introduzcas códigos de autenticación de dos factores en cualquier lugar.
  • Siempre que sea posible, utiliza llaves de acceso en lugar de contraseñas. Esta tecnología proporciona una excelente protección contra el phishing: incluso si visitas un sitio malicioso e intentas iniciar sesión, la llave de acceso no funcionará en el dominio falsificado. Puedes almacenar y sincronizar llaves de acceso entre diferentes dispositivos en Kaspersky Password Manager. Lee nuestra publicación sobre el tema para obtener más información sobre cómo funcionan las llaves de acceso.

Los ataques de phishing son cada vez más sofisticados. Otras cuestiones que debes tener en cuenta sobre el phishing:

Consejos
  • Para el resto de países