Los mensajes de texto o SMS que podemos enviar a través del teléfono móvil son cosa del pasado. Sin embargo, aunque han caído en desuso, se están convirtiendo en el arma perfecta con la que los ciberdelincuentes pretenden atentar contra la privacidad y seguridad del usuario.
Panda Security hace eco de un reciente informe publicado por la Universidad de Toronto, en el que se analiza cómo los antiguos SMS son utilizados en la actualidad para robar contraseñas de Gmail y acceder así a las cuentas de correo de sus víctimas, informa el portal de noticias español ABC.
También te puede interesar: 12 cosas que no sabías que puedes hacer con Gmail
Los hackers no solo logran esquivar la verificación en dos pasos que Google ofrece a los usuarios como medida de seguridad, sino que, además, se adapta perfectamente a sus características para que la víctima no sospeche y muerda el anzuelo.
Así empieza el engaño
La trampa empieza con un mensaje de texto en el móvil de la víctima. La empresa especializada en seguridad informática explica que aparentemente se trata de un SMS enviado por Google para informar al usuario de que alguien ha intentado entrar en su Gmail.
Minutos después, el usuario recibe un correo electrónico. Se trata de otra falsa advertencia de Google sobre un intento inesperado de inicio de sesión. En este email, los ciberdelincuentes adjuntan un enlace que, teóricamente, llevará a la víctima hasta una web donde podrá cambiar su contraseña para reforzar la seguridad de su cuenta.
El falso enlace conduce al usuario hasta una herramienta de phishing que permitirá al hacker obtener la contraseña de la víctima. Además, esta falsa web de Google solicitará al usuario el código de verificación que la compañía enviará a su número de teléfono por SMS (esta vez sí es real) cuando los atacantes accedan por primera vez a la cuenta con la contraseña pero desde una ubicación que no es la acostumbrada.
No es la única forma
En su informe, los investigadores de la Universidad de Toronto alertan de que esta no es la única forma con la que los ciberdelincuentes actúan, pues también lograron hacerse con contraseñas de Gmail a través de un sistema de phishing que comenzaba con una llamada en la que ofrecían a la víctima un trato comercial.
Ese supuesto proyecto era solo el gancho. La falsa propuesta era enviada después al correo de la víctima a través de un enlace que conducía a un supuesto documento creado en Google Drive. Sin embargo, para acceder a la falsa propuesta, era necesario introducir el usuario y la contraseña de la cuenta de Google. De esta forma, los ciberdelincuentes conseguían los datos necesarios para acceder al correo de la víctima.
Fuente: Sipse
