Un engaño simula la página de inicio del servicio de almacenamiento en nube y a partir de ahí, busca atacar a los usuarios. Descubrá cómo funciona y cómo detenerlo.
La empresa de seguridad informática Symantec ha detectado una sofisticada estafa de phishing a través de una falsa página de inicio en el servicio de almacenamiento en nube Dropbox que busca robar credenciales de usuarios.
Según informaron desde la compañía, el engaño detectado utiliza como gancho un correo electrónico con el asunto “importante” en el que se afirma que el destinatario ha enviado un documento demasiado grande para ser mandado por correo o que no se puede enviar por motivos de seguridad. En ese mismo falso correo se asegura que el documento se puede visualizar al hacer clic en un enlace incluido dentro del mensaje. Sin embargo, este enlace no conduce a ningún sitio legítimo sino a una página falsa que simula con bastante detalle el inicio de sesión en Dropbox.
La página de inicio falsa está alojada en el dominio del contenido de los usuarios de Dropbox (como lo están las fotos y otros archivos compartidos) y funciona a través de SSL (Secure Sockets Layer), lo que hace al ataque más peligroso y convincente, según señalan desde Symantec.
De hecho, el sitio falso se parece mucho a la página real de inicio de sesión de Dropbox, pero con una diferencia crucial. Dado que los ciberestafadores están interesados en robar algo más que las credenciales de Dropbox, en la página falsa se incluyen los logotipos de algunos servicios populares de correo electrónico basados en la web, sugiriendo a los usuarios que pueden iniciar sesión usando sus credenciales de esos servicios.
Tras hacer clic en "Entrar", el nombre de usuario y la contraseña de la víctima se envían a un script PHP en un servidor web comprometido. Las credenciales también entregan a través de SSL, lo cual es fundamental para el éxito del ataque, ya que de no ser así las víctimas verían una advertencia de seguridad sospechosa. Una vez que los datos del usuario son guardados o enviados por correo electrónico al estafador, el script PHP simplemente redirige al usuario a la página de inicio de sesión real de Dropbox.
Aunque la propia página se alimenta a través de SSL y el nombre y contraseña del usuario se envían mediante el protocolo, algunos recursos de la página (por ejemplo, imágenes u hojas de estilo) no se alimentan de SSL. El uso de los recursos que no son SSL en una página alimentada por SSL muestra advertencias cuando se usan versiones recientes o nuevas de algunos navegadores de Internet.
La prominencia de la advertencia varía de un navegador a otro; algunos simplemente cambian el símbolo del candado que se muestra en la barra de direcciones, mientras que otros incluyen un pequeño banner o aviso en la parte superior de la página. En cualquiera de los casos, es posible que los usuarios no se percaten o no entiendan las advertencias de seguridad o las implicaciones asociadas.
Symantec reportó el descubrimiento de la página falsa a Dropbox, que inmediatamente la dio de baja de su servicio. Cualquier página falsa que esté hospedada en Dropbox puede reportarse a la dirección [email protected]
Los ataques contra este tipo de servicios de almacenamientos no son nuevos. Hace algunas semanas Symantec también alertó sobre un caso similar en que Google Docs y los usuarios de Google Drive estaban siendo atacados por una sofisticada estafa de phishing. En dicha estafa, los mensajes incluían enlaces a una página falsa de inicio de sesión de Google Docs alojada en el propio Google.
