En el blog de Imydes podemos hacer el seguimiento de un caso de phishing típico orientado a recolectar direcciones de correos de usuarios de GMail.

Sobre esto quiere remarcar dos puntos interesantes:

  1. Este caso es uno de los cientos que se viven a diario en todo el mundo y no tiene nada especial excepto el nombre de dominio utilizado que es muy parecido a original y que es utilizado para engañar al usuario. Aún no entiendo cómo este tipo de registros no está regulado. ¿Acaso no es evidente que si alguien desea registrar gnail (por poner un ejemplo) es para fines poco éticos y/o ilegales? ¿por qué se permite este tipo de registros?
  2. El caso estudiado está realizado por principiantes que ni siquiera se tomaron el trabajo de ocultar los archivos en el directorio raíz del servidor:

    Directorio raíz

  3. Que sean principiantes no quiere decir que la cantidad de usuarios engañados será menor. Lamentablemente, muchos caerán en el engaño y regalarán su usuario y clave, aún con errores tan burdos como se pueden observar en esta imagen:

    Login falso

  4. Ahora, ¿qué importancia tiene que nos roben el usuario y contraseña de GMail? Para comenzar, el atacante se hará con los datos de nuestra cuenta de correo, desde donde podría invadir nuestra privacidad y por supuesto utilizarla para hacerse pasar por nosotros (impersonalización y robo de identidad). Además, las credenciales utilizadas por los servicios de Google son únicas y se puede ingresar a todos los servicios de la empresa a través de ellas. Por ejemplo, alguien podría leer documentos confidenciales en Google Docs por citar un caso.
  5. Luego de 2 días, este phishing sigue activo y ningún navegador informa del sitio falso. Es fundamental denunciar estos casos mediante las herramientas de las que dispongamos. En mi caso lo hice en Firefox ingresando al menu Ayuda -> Informar sitio fraudulento (Phishing).
  6. Por último, quiero remarcar algo sumamente importante: cuando se estudian estos casos y se toman capturas de pantallas como las mostradas, siempre debe ocultarse el dominio al que hacen referencia porque si no alguien podría verse tentado de ingresar y caer en la trampa del delincuente. Recordemos que muchas veces estos sitios pueden tener scripts dañinos que infectan el equipo o que graban las cookies del usuario, lo que permitiría el robo de credenciales, incluso sin haber ingresado los datos. Es irresponsable no ocultar ciertos datos que puedan facilitar el trabajo al atacante.

Cristian