El Traductor de Google y el phishing

¿Por qué un correo electrónico comercial puede contener un enlace al Traductor de Google?

Cuando hablamos de los trucos de los ciberdelincuentes, siempre recomendamos que compruebes minuciosamente la URL a la hora de hacer clic en el enlace de un correo electrónico. Pues aquí va otra bandera roja: un enlace a una página traducida con el Traductor de Google.

Podría pasar que el remitente del correo electrónico te invitara a visitar un sitio en un idioma diferente y simplemente esté tratando de ser útil. En la práctica, sin embargo, esta técnica se usa con mayor frecuencia para eludir los mecanismos antiphishing.

Si el mensaje forma parte de la correspondencia comercial y el sitio que se abre después de hacer clic en el enlace quiere que introduzcas las credenciales de tu correo; cierra la ventana del navegador y elimina el correo electrónico de inmediato.

Por qué usan los atacantes los enlaces del Traductor de Google

Echemos un vistazo a un ejemplo reciente de phishing a través de un enlace del Traductor de Google interceptado por nuestras trampas:

Ejemplo de e-mail con un enlace al Traductor de Google.

Los remitentes del correo electrónico alegan que el archivo adjunto es una especie de documento de pago a disposición exclusiva del destinatario, que debe ser estudiado para una “contrato de presentación de la reunión y pagos posteriores”. El enlace del botón Abrir apunta a un sitio traducido por el Traductor de Google. Sin embargo, esto solo queda claro al hacer clic, porque en el correo electrónico aparece así:

 

Enlace del botón "Abrir".

Enlace del botón “Abrir”.

Es probable que la extraña redacción forme parte de la estrategia: un intento de los atacantes de crear la impresión de que no son nativos ingleses para que el enlace del Traductor de Google parezca más convincente. O tal vez nunca hayan visto un correo electrónico real con documentos financieros. Presta atención a los dos enlaces que aparecen a continuación (“Cancelar suscripción de esta lista” y “Gestionar preferencias de correo electrónico”), así como al dominio sendgrid.net en el enlace.

Estos son signos de que el mensaje no se ha enviado manualmente, sino a través de un servicio de correo legítimo; en este caso, el servicio SendGrid, pero se podría haber utilizado cualquier otro proveedor de servicios de correo electrónico (ESP por sus siglas en inglés).

Los servicios de este tipo normalmente protegen su reputación y eliminan periódicamente las campañas de correo dirigidas al phishing, bloqueando a sus creadores. Por ello, los atacantes ejecutan sus enlaces a través del Traductor de Google: los mecanismos de seguridad del ESP ven un dominio legítimo de Google y no consideran que el sitio sea sospechoso. En otras palabras, es un intento no solo de engañar al usuario final, sino también a los filtros del servicio intermediario.

¿Qué aspecto tiene un enlace a una página traducida por el Traductor de Google?

El Traductor de Google te permite traducir sitios web completos simplemente pasándole un enlace y seleccionando los idiomas de origen y de destino.

El resultado es un enlace a una página en la que el dominio original está separado por guiones y la URL se complementa con el dominio translate.goog, seguido del nombre de la página original y las claves que indican a qué idiomas se realizó la traducción. Por ejemplo, la URL de la traducción de la página de inicio de nuestro blog en inglés www.kaspersky.com/blog al español se verá así: www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.

El correo electrónico de phishing que analizamos buscaba atraer al usuario aquí:

Imitación de la página de inicio de sesión del correo

Imitación de la página de inicio de sesión del correo.

La barra de direcciones del navegador, a pesar de la cadena de caracteres basura, muestra claramente que el enlace ha sido traducido por el Traductor de Google.

Cómo mantenerte a salvo

Para evitar que los empleados de la empresa caigan en las trampas de los ciberdelincuentes, recomendamos actualizar periódicamente sus conocimientos sobre tácticas de phishing (por ejemplo, enviándoles enlaces relevantes de nuestro blog) o, mejor aún, concienciarlos sobre las ciberamenazas actuales con la ayuda de herramientas de aprendizaje especializadas.
Por cierto, en el ejemplo anterior, un usuario formado nunca habría llegado tan lejos con la página de phishing: la posibilidad de que un documento financiero legítimo dirigido a un destinatario específico se envíe a través de un proveedor de servicios de correo electrónico es, en el mejor de los casos, bastante escasa. Hace un tiempo, publicamos sobre el phishing basado en este tipo de servicios.

Para mayor seguridad, también recomendamos utilizar soluciones con tecnologías antiphishing tanto a nivel del servidor de correo corporativo como en todos los dispositivos de los empleados.

Consejos