g.co, un caso de phishing que usó la URL corta de Google

 (gist.github.com/zachlatta)
3 puntos por GN⁺ 2025-01-25 | 1 comentarios | Compartir por WhatsApp
  • Un caso en el que un atacante intentó realizar un phishing sofisticado abusando de un subdominio (important.g.co) del dominio corto oficial de URL de Google, g.co
  • El identificador de llamadas mostraba "Google" y el número de origen también era (650) 203-0000, por lo que parecía una llamada real de Google
  • La calidad de la llamada y el dominio del idioma también eran naturales, a un nivel en el que era difícil sospechar que se trataba de phishing

Resumen del contenido de la llamada

  • La persona que llamó decía ser personal de "Google Workspace" y explicaba la situación preguntando si el usuario había tenido recientemente un intento de inicio de sesión desde una IP de Fráncfort
  • Cuando el usuario sospechó y pidió “confírmelo por un correo oficial de Google”, le enviaron un correo desde la dirección important.g.co
  • Como era un subdominio de g.co, conocido por ser operado por Google, lo usaron para inducir confianza con facilidad
  • Después, diciendo que iban a restablecer la sesión del dispositivo, enviaron al usuario un código de autenticación en dos pasos (2FA) y lo guiaron para que ingresara ese código
  • Si se introducía el código, el atacante podía obtener acceso a la cuenta de Google del usuario

Análisis del correo y del dominio

  • g.co en sí es el dominio oficial de URL corta de Google
  • Sin embargo, se estima que existe una vulnerabilidad que permite crear libremente subdominios como important.g.co
    • Al parecer, aprovecharon una falla en el proceso de verificación de dominio de Google Workspace para obtener un subdominio de g.co sin validación
  • El correo enviado también pasaba correctamente DKIM/SPF, por lo que se mostraba como si hubiera sido enviado por el verdadero Google

Puntos clave del proceso del ataque

  • Suplantación telefónica: manipularon el Caller ID para que apareciera "Google"
  • Similitud con canales oficiales de contacto: ganaron confianza mencionando un número de teléfono conocido de Google y mostrando la página real de soporte de Google
  • Asistencia de voz sofisticada: el lenguaje, la actitud y el flujo del interlocutor estaban representados de forma muy convincente, como si fuera un ingeniero real
  • Correo desde subdominio de g.co: enviaron un correo al usuario y lo describieron como una “subred interna de Google”, reduciendo las sospechas
  • Solicitud del código 2FA: al final inducían el cierre de sesión del dispositivo, y si el usuario ingresaba el código 2FA, el atacante podía acceder a la cuenta

Análisis del lado de Hack Club

  • Se planteó la hipótesis de que en Google Workspace realmente se podía obtener un subdominio como important.g.co
  • Con esa vulnerabilidad, sería posible vincular un subdominio interno de g.co a una cuenta de Google Workspace y enviar de forma legítima correos autenticados con SPF/DKIM
  • Varios colaboradores revisaron encabezados de correo, configuración de dominio y otros elementos para confirmar el problema

Resumen

  • Esto sugiere que ya no basta con las verificaciones tradicionalmente conocidas de “confirmar el número oficial” y “verificar que el correo venga de un dominio oficial”
  • Incluso varios elementos que aparentan demostrar que la llamada o el correo realmente son de Google (número telefónico, dominio, DKIM/SPF) no garantizan confianza
  • En situaciones sospechosas, hay que tener especial cuidado con ingresar o compartir códigos 2FA cuando se lo pidan
  • Parece ser un caso de abuso de una vulnerabilidad en una cuenta de Google Workspace y en la verificación de dominios, y requiere mejoras de seguridad por parte del proveedor del servicio

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-01-25
Opiniones de Hacker News

  • He visitado sitios de phishing como "colnbase.com", y me di cuenta del problema porque 1Password no autocompletó mis credenciales. Este tipo de sitios de phishing son un riesgo en el que cualquiera puede caer

  • La mayoría de las llamadas que supuestamente vienen de empresas tecnológicas son estafas. No importa el identificador de llamadas ni el acento de quien llama

  • Hay ataques de phishing que pasan SPF, DKIM y DMARC, usando el método de compartir un Google Form para enviar el correo

  • Considero que los avisos de restablecimiento de contraseña o de pagos fraudulentos son phishing a menos que yo los haya solicitado directamente. Me parece más seguro verificar si realmente hay un problema antes de actuar

  • No hay registros DNS para importante.g.co, y existe un bug que permite enviar correos desde un Google Workspace no autenticado. Se sospecha que faltan protecciones para el dominio g.co

  • Si hubiera seguido las dos "mejores prácticas" de verificar el número telefónico y recibir el correo desde un dominio legítimo, habría caído en la estafa. Pero no seguí la primera práctica, y el remitente indicó explícitamente que no podía recibir llamadas

  • Me pregunto cómo lograron hacer spoofing de correos desde workspace-noreply@google.com. La frase contraseña de 'important.g.co' suena extraña, así que podría ser una estrategia para crear una cuenta "paralela" con el mismo correo y hacer que parezca un correo oficial

  • Tuve una experiencia similar hace unos meses; había una función en Google Workspace que permitía enviar correos al remitente y a destinatarios adicionales elegidos. Cuando pregunté si se podía responder, me dijeron que no era posible, y eso me pareció sospechoso

  • Google debería responder con más fuerza ante este tipo de ataques. Existe un método sofisticado para secuestrar cuentas a través del flujo de recuperación de cuenta; lo reporté, pero me respondieron "no es un bug, está clasificado como riesgo de abuso"

  • El vencimiento de dominios está siendo usado por actores maliciosos para acceder a sistemas, y eso está impulsando el aumento reciente de los ciberataques