Home Sociedad Phishers utilizan Google Translate para aumentar el éxito

Phishers utilizan Google Translate para aumentar el éxito

Los investigadores han advertido a los usuarios de una nueva modalidad de phishing, que utiliza Google Translate para añadir autenticidad a las estafas.

El experto seguridad de Akamai, Larry Cashdollar, explicó que él era el objetivo de esta estrategia, a principios del año nuevo, cuando recibió un correo electrónico, indicándole que su cuenta de Google, había registrado un ingreso, desde un nuevo dispositivo Windows.

De acuerdo a su explicación, al hacer clic en el enlace adjunto, las víctimas acceden a una página de acceso a Google, falsa, con el dominio malicioso cargado a través de Google Translate.

“El uso de Google Translate hace una serie de cosas. Llena la barra de direcciones URL con mucho texto aleatorio, pero lo más importante desde el punto de vista visual es que la víctima ve un dominio legítimo de Google. En algunos casos, este truco ayudará a evitar las defensas de los puntos finales criminales”, advirtió Cashdollar.

“Sin embargo, aunque este método de ofuscación podría tener cierto éxito en los dispositivos móviles (la página de destino es un clon casi perfecto del antiguo portal de acceso de Google), falla completamente cuando se ve desde un ordenador”.

Esto se debe a que en una pantalla completa de ordenador, los usuarios pueden ver el verdadero dominio malicioso más claramente.

Pero, si un usuario cae en la estafa, no solo se le cosecharán los inicios de sesión de Google, sino que además se le llevará a una página de inicio de sesión móvil de Facebook falsificada.

“No todos los días se ve que un ataque de phishing aprovecha Google Translate para añadir legitimidad y ofuscación a un dispositivo móvil, pero es muy poco común ver un ataque de este tipo dirigido a dos marcas en la misma sesión”, dijo Cashdollar.

“Una nota interesante se refiere a la persona que conduce estos ataques, o al menos al autor de la página de aterrizaje de Facebook, que lo vinculó a su cuenta real de la red social, que es el sitio en el que la víctima aterrizará en caso de que caiga en la estafa”.

El profesional instó a los usuarios a sospechar más de los mensajes no solicitados, especialmente si los ven en su dispositivo móvil, y a considerar si el autor está tratando de crear una sensación de urgencia, miedo o autoridad para persuadir al destinatario a hacer clic.