ESET Latinoamérica advierte cómo la herramienta de creación de formularios y cuestionarios es un vector popular para la ingeniería social y la distribución de malware.
Foto: ESET.
Centroamérica. Google Forms es la herramienta de creación de formularios y cuestionarios de Google lanzada en 2008, que según algunas estimaciones casi el 50 % de las encuestas en línea son elaboradas con ésta.
Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que su uso extendido también incluye los fines maliciosos y a los actores de amenazas, que son expertos en abusar de tecnologías populares, por lo que ya están usando Google Forms para recopilar información confidencial de sus víctimas e incluso engañarlas para que instalen malware.
Google Forms ofrece una gran oportunidad como forma de legitimar estafas y evadir filtros de seguridad. Desde ESET mencionan que los ciberdelincuentes lo prefieren por algunas de sus características clave:
Es gratuito, goza de la confianza de los usuarios, es un servicio legítimo, es fácil de utilizar y sus comunicaciones están cifradas con TLS (Transport Layer Security), lo que puede dificultar que las herramientas de seguridad comprueben si hay alguna actividad maliciosa.
Además, suele utilizar URL dinámicas, lo que puede dificultar la detección de formularios maliciosos por parte de algunos filtros de seguridad de correo electrónico.
La mayoría de los ataques mediante Google Forms tienen por fin engañar a los usuarios y hacerles entregar su información personal y financiera. Aunque existen ligeras variaciones en la forma, estas son algunas de las principales técnicas que destacan desde ESET para tener en cuenta:
Formularios relacionados con el phishing
Generalmente, se recibe un enlace a uno de estos formularios de Google maliciosos a través de un correo electrónico de suplantación de identidad, que puede estar falsificado para hacerse pasar por una marca o un remitente legítimos. El correo electrónico puede incluso proceder de una cuenta legítima que ha sido secuestrada. En cualquier caso, el objetivo final suele ser:
Obtener los datos de acceso para secuestrar cuentas y cometer fraude de identidad, Robar los datos de la tarjeta o información bancaria o criptográfica para controlar las cuentas y vaciarlas o cometer fraude en los pagos o persuadir para hacer clic en un enlace del formulario de Google malicioso que redirige a un sitio que instala malware de forma encubierta.
Los atacantes envían un formulario malicioso de Google para engañar al usuario y que llame así a un número de teléfono que aparece allí. El formulario puede estar diseñado para que parezca enviado por un banco u otro proveedor de servicios de confianza. Generalmente, tendrá un sentido de urgencia para llevar a tomar una decisión precipitada: llamar al número sin pensarlo bien antes. La excusa, frecuentemente, es que la cuenta será bloqueada o que se retiró o retirará dinero.
Concursos de preguntas y respuestas
Los ciberdelincuentes pueden abusar de la función de cuestionario de Google Forms, creando un cuestionario de preguntas y respuestas para hacer al usuario participar en un supuesto concurso.
Ejemplos de campañas destacadas:
BazarCall: Una amenaza de tipo vishing en la que las víctimas recibían un correo electrónico que contenía un formulario de Google malicioso que se hacía pasar por PayPal, Netflix o alguna otra de las grandes marcas. El formulario contenía detalles de un cargo falso que está a punto de aplicarse, a menos que el destinatario llame al número de teléfono facilitado.
Phishing dirigido a universidades estadounidenses: Google detectó el año pasado un aumento de los ataques contra el sector educativo estadounidense. Las víctimas recibieron correos electrónicos de phishing que contenían un enlace a un formulario de Google malicioso, ambos diseñados para parecer enviados por la universidad, con logotipos y referencias al nombre de la universidad. El objetivo final era obtener datos de acceso o financieros.