Ataques como el Estafa de phishing de Google Docs que se extendió por Internet durante una hora ayer (3 de mayo) probablemente ocurrirá en otros servicios en línea, gracias a un mecanismo de inicio de sesión común que utilizan cientos de sitios web.

La estafa explotó el protocolo OAuth (para "autorización abierta"), que Google, Facebook, Twitter y muchos otros servicios se utilizan para iniciar sesión en varios sitios web a la vez y mantener a esos usuarios conectados indefinidamente.

Crédito: dennizn / Shutterstock
(Crédito de la imagen: dennizn / Shutterstock)

"[La] funcionalidad de esta campaña parece ser una encarnación moderna de viejos virus de macro de correo electrónico, como el gusano ILoveYou", dijo Alex Heid, director de investigación de SecurityScorecard en Nueva York.

"Es muy probable que el uso de OAuth sea un tema común en futuras campañas de phishing", dijo Heid. "Este método es efectivo desde el punto de vista de la ingeniería social de la víctima, y ​​las robustas funcionalidades de las aplicaciones OAuth permiten a los atacantes expandir el área de superficie de ataque".

MÁS: Las mejores aplicaciones y software antivirus

Cuando inicia sesión en un servicio que utiliza OAuth, crea un "token de sesión" que puede transferirse a otros sitios y servicios, y también accede a ellos. Así es como puede iniciar sesión en TweetDeck y Twitter al mismo tiempo, o iniciar sesión en cientos de sitios web con su contraseña de Facebook.

"El phishing de OAuth no va a desaparecer", dijo Jordan Wright, ingeniero de investigación y desarrollo de Duo Labs en Ann Arbor, Michigan, en una publicación de blog hoy (4 de mayo).

"El éxito de esta campaña sugiere que es probable que veamos más de este tipo de suplantación de identidad avanzando ", dijo Wright. "Estos ataques son fáciles de automatizar, económicos de configurar y, como vimos el miércoles, son muy efectivos".

Lo que necesita saber (y lo que puede hacer)

El lado positivo del ataque de ayer fue que no hubo carga útil maliciosa, ni robo de nombres de usuario o contraseñas. Si se vio afectado, no tiene que cambiar su contraseña de Google.

Pero tienes que ir a https://myaccount.google.com/permissions y compruebe si Google Docs figura como un servicio que tiene acceso a su cuenta de Google. Si es así, quítelo. (El verdadero Google Docs tiene acceso integrado y no aparecerá en la página).

Este no es el primer roce de OAuth con la infamia, un Defecto de OAuth divulgado hace casi exactamente tres años podría haber permitido que cualquiera se apropiara de sus cuentas de Google, Facebook, Twitter o Microsoft.

Los tokens de sesión tienen una vida útil finita, pero a menudo dura semanas, como puede testificar cualquiera que se mantenga conectado permanentemente en sitios web de uso frecuente. De vez en cuando, tendrá que volver a iniciar sesión, que es la forma en que sabe que su token de sesión anterior ha caducado.

Sin embargo, cerrar la sesión de dichos servicios matará un token de sesión. El problema es que debe cerrar la sesión en todas las computadoras de escritorio o portátiles que utilice habitualmente. (Las aplicaciones y navegadores en dispositivos móviles tienen menos riesgo).

Una forma de evitar el abuso de OAuth es cerrar la sesión de Facebook, Twitter, Gmail y cualquier otro servicio en línea tan pronto como haya terminado de usarlo en una computadora. Tendrá que volver a iniciar sesión la próxima vez, lo cual es un poco molesto, pero al menos sabrá que nadie más puede robar su token e iniciar sesión sin su permiso.

Por qué el ataque funcionó tan bien

El ataque de ayer engañó a sus víctimas para que generaran un token de OAuth para un servicio falso de Google Docs, y engañó al usuario para que les concediera acceso a sus cuentas de Gmail. Con ese token de OAuth, el servicio falso podría secuestrar Gmail.

El servicio falso envió automáticamente correos electrónicos a todos los que estaban en la libreta de direcciones de la víctima, pidiéndoles que vieran un documento de Google Docs. Si una víctima hizo clic en el botón "Ver en Documentos" en el mensaje de correo electrónico, se le presentó un ventanas emergentes pidiendo permiso para dar permiso a Google Docs para acceder a Gmail, y el ciclo se repitió sí mismo.

Si habías habilitado Autenticación de dos factores en su cuenta de Google no hizo ninguna diferencia: OAuth asume que ya está completamente autorizado y no funciona con 2FA.

"Debido a que la suplantación de identidad de OAuth evita las típicas señales de alerta a las que los usuarios se han acostumbrado con la suplantación de identidad de correo electrónico (es decir, un enlace URL desconocido o falso, solicitud de inicio de sesión o archivo adjunto), es probable que tenga una mayor tasa de éxito e incluso puede confundir a los usuarios más experimentados y competentes ". escribió Greg Martin, CEO de Jask, una empresa de ciberseguridad en San Francisco, en el sitio web Dark Reading.

  • Las mejores extensiones de Google Chrome
  • Cómo crear y recordar contraseñas súper seguras
  • Mejores administradores de contraseñas

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.