Los ataques phishing tienen como objetivo obtener información confidencial como contraseñas o datos bancarios mediante suplantación de identidad y otras técnicas de lo que se conoce como ingeniería social, un tipo de hacking personalizado dirigido a un individuo concreto. El blog The Next Web ha analizado un método que puede ser usado por un delincuente informático para acceder a nuestra cuenta de Google en unos sencillos pasos. La información ha sido extraída de un vídeo de Symantec, la conocida empresa de antivirus, y muestra cómo cualquier persona con conocimientos informáticos básicos (y malas intenciones) puede engañar a su víctima para obtener el control de su cuenta de Gmail. Teniendo en cuenta que la cuenta de Google da acceso a muchos más servicios como Google Drive o Google Photos, el volumen de información al que podría acceder el atacante va más allá del correo electrónico.
Para que un hacker pueda entrar en nuestra cuenta de Gmail con este método es necesario que conozca nuestro número de teléfono y cuenta de correo electrónico. Con estos dos datos ya tiene lo necesario para poner en marcha su plan, aunque también necesitará una víctima poco cuidadosa. Lo que hace es aprovechar el modo de verificación en dos pasos, con el que Google nos envía un código al móvil cada vez que iniciamos sesión en un nuevo dispositivo.
1) Lo primero que tiene que hacer el atacante es iniciar el proceso de recuperación de contraseña. De entre todas las opciones disponibles selecciona enviar un SMS y su víctima recibirá un mensaje con el código de verificación de Google.
2) El siguiente paso es enviar un segundo SMS desde su propio móvil, en el que se comunica con el usuario haciéndose pasar por Google. La idea es hacer creer a la víctima que ha habido un acceso no autorizado a su cuenta y que necesita contestar con el código de verificación para solucionar el problema.
3) Si tiene suerte y su víctima no sospecha, ésta le reenviará el código con el que podrá recuperar la contraseña. Una vez dentro podrá cambiar la contraseña y hacerse con el control total de la cuenta.
Como decíamos, este ataque sólo puede producirse si el usuario no es precavido y cae en la trampa -aunque si está familiarizado con el sistema de verificación en dos pasos de Google es de suponer que sospechará al recibir un mensaje de un número desconocido que se hace pasar por Google. Google nunca pide una respuesta por parte del usuario en su servicio de SMS, sino que simplemente nos envía el código cuando lo solicitamos. Si recibes algún mensaje de este tipo, no contestes. Accede a tu cuenta de Google y cambia la contraseña cuanto antes, y por supuesto nunca reenvíes un código de Google a nadie. Otra recomendación importante es cambiar la contraseña periódicamente y no usar siempre la misma para todo, sino ir variándola.
