Nick Johnson, de Ethereum Name Service (ENS), detectó un ataque de phishing de repetición DKIM. Los atacantes primero registraban un dominio y creaban una cuenta de Google para me@dominio. Después, creaban una aplicación Google OAuth utilizando como nombre todo el mensaje de phishing, con muchos espacios en blanco para separarlo de la notificación de Google sobre el acceso a la cuenta del atacante.
Tras el acceso, Google enviaba automáticamente una alerta de seguridad que los atacantes reenviaban a las víctimas, pasando todas las verificaciones. El mensaje instaba a los usuarios a acceder a un supuesto portal de asistencia, un duplicado exacto del real, en el cual se solicitaban las credenciales de su cuenta de Google.
El portal fraudulento estaba alojado en sites.google.com, la plataforma gratuita de creación de sitios web de Google, en lugar de en accounts.google.com, haciendo sospechar de que se trataba de un phishing.
Tomado del Boletín Semanal de Ciberseguridad, 19-25 abril
2025 © Telefónica Cyber Security & Cloud Tech S.L.U. Todos los derechos reservados
0 comentarios