viernes, 5 de octubre de 2007

Robo de contraseñas en falsa página de Google Gmail

Se ha reportado un phishing que pretende robar contraseñas y nombres de usuarios de Gmail. Según el análisis de Lostmon e Imydes, el engaño, de tener éxito, puede permitir al atacante, obtener el acceso a múltiples servicios de Google.

Google proporciona una variedad enorme de servicios y herramientas, tales como Gmail, Blogger, Calendar, Picasa, Docs, Google Adsense, Google Analytics y otros. Obtener la contraseña y nombre de usuario que se utiliza para cualquiera de estos servicios, puede permitir a un usuario malicioso usurpar la identidad de la víctima, y robar soda su información confidencial.

La existencia de este sitio (activo al día de hoy), es algo muy grave, ya que Google es utilizado de forma masiva no solo por usuarios domésticos, sino también por profesionales y hombres de negocios (por ejemplo, existen muchas compañías que utilizan el servicio de Google Apps, que permite crear una página corporativa para compartir documentos, agendas, y mucho más).

El engaño, consiste en un dominio muy similar al de Gmail (us[-]gmail. com), en donde se simula un formulario de Google para gestionar la cuenta del usuario. Allí aparecen (en inglés), campos tales como nombre de usuario, contraseña, y otra información:

Username
Password
First name
Last name
Nick name
Zip code
Country

Según comentan Imydes y Lostmon, descubridores e investigadores del scam, los usuarios sin experiencia seguramente no sospecharán de errores tales como que la contraseña aparezca sin estar protegida por asteriscos, o que la lista de países del desplegable del campo Country, muestre caracteres extraños, al estar mal codificada.

Cuando el usuario hace clic en el botón de guardar, los datos introducidos quedarán en manos del autor del scam.

Algunos errores (como la falta de un archivo INDEX o similar), permite ver el contenido del archivo raíz donde se aloja la página. Allí se encuentran los indicios de un sistema de envío masivo de spam con la dirección del falso sitio.

La fecha de los archivos corresponden a la semana del 2 de octubre de 2007. Ese mismo día fue registrado el dominio, según indica la siguiente información (el nombre del dominios se ha ofuscado):

Domain Name: us[-]gmail. com

Created on..............: Tue, Oct 02, 2007
Expires on..............: Thu, Oct 02, 2008
Record last updated on..: Tue, Oct 02, 2007

Existen en el mismo servidor, evidencias de otras páginas, que permitirían un engaño similar para usuarios de e-Bullion (un sitio de pagos electrónicos y transacciones).

El análisis original del scam, con imágenes incluidas, puede ser encontrado en el siguiente enlace:

Scam de Google Accounts y Phishing de E-Bullion
http://www.imydes.com/?p=117


Créditos:

Imydes (www.imydes.com)
Lostmon (http://lostmon.blogspot.com)
Lostmon Group (http://groups.google.com/group/lostmon)