Investigadores de seguridad de Symantec acaban de alertar de una nueva estafa de phishing basada en Google Docs. Aunque es sencilla de evitar, conviene ser especialmente precavido en este caso, porque sus creadores han encontrado incluso la forma de simular una dirección auténtica de Google Drive, cifrado SSL incluido.

El phishing comienza con un correo electrónico con el titulo: "Documents" y un enlace a Google Docs. Al pinchar este enlace, nos aparece la habitual página para identificarnos en Google Drive. Aunque estemos ya identificados en Gmail, o en otro servicio de Google en nuestro equipo, la manía de pedirnos una y otra vez las contraseñas de algunos servicios online hace que podamos pasar por alto esta falsa página de login.

Mirar la dirección web de la página no aclara nada, porque, de hecho, el enlace aparece dentro del dominio Google.com y con la supuesta protección por SSL. El experto en seguridad de Symantec, Nick Johnston, lo explica así: "Los estafadores simplemente han abierto una carpeta pública en una cuenta de Google Drive y han subido allí el archivo de destino. La previsualización de Google Drive hace que puedan utilizar una dirección de enlace aparentemente inocua."

Si nos identificamos con nuestro correo electrónico y contraseña, el enlace incluso nos lleva a un documento falso de Google Docs. Mientras tanto, los datos de nuestro login han sido registrados en el servidor PHP de los autores de la estafa. No hace falta decir que las tropelías que se pueden hacer con la cuenta de Google de otra persona son variadas, y van desde el pago de servicios en Google Play, hasta el uso de la cuenta para reenviar Spam. Todo depende de cuántos datos tengamos asociados a nuestra cuenta.

Evitar esta estafa es tan sencillo como desconfiar de correos electrónicos de desconocidos, y más si llevan un enlace. Otro elemento que resulta sospechoso es que en la falsa página de login (a la izquierda en la imagen de portada) no aparece nuestro avatar, sino uno genérico de Google. Como siempre, se recomienda precaución y sentido común. [Symantec vía The Hacker News]