GMAIL: cibercriminales vuelven elásticas las normas de seguridad

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Los grupos de ciberdelincuentes están abusando cada vez más de una característica del servicio de correo electrónico Gmail, que está diseñada para evitar que otros usuarios registren ciertas variaciones ortográficas de su propia dirección de correo electrónico.

Dado que esta función solo es compatible con Google, se puede utilizar indebidamente para robar información personal o incluso datos referidos a la seguridad social.

Una característica especial de Gmail es que ignora los “puntos” en los nombres de cuenta. Por ejemplo, si un usuario se registra como jlopez@gmail.com, otros usuarios no podrán usar direcciones como j.lopez@gmail.com.

Además, Google también envía mensajes que se acaban de enviar a jl.opez@gmail.com o jlop.ez@gmail.com al buzón de correo de jlopez@gmail.com.

Una forma de abusar de esta función es registrarse para obtener servicios en línea gratuitos.

Lo usan para Netflix

Recientemente, los estafadores descubrieron que la función también se puede usar para que terceros paguen por su propia cuenta de Netflix.

Una cuenta de Netflix creada con una cuenta de Gmail de “Punto” hará que Netflix envíe un correo electrónico a otra persona solicitando un método de pago de servicio de video.

Si el usuario ya es cliente de Netflix y no se da cuenta de que el correo electrónico ha sido enviado a una variante de “punto” de su dirección de correo electrónico, puede estar siguiendo la llamada de Netflix y, por ejemplo, depositar una tarjeta de crédito.

Con esta nota intento llamar la atención sobre otras estafas utilizando el ejemplo de una dirección de Gmail, para la cual se han creado un total de 56 variantes de “Puntos”.

Se utilizaron para realizar 56 solicitudes de tarjetas de crédito, lo que les valió a los estafadores un crédito de al menos $ 65,000.

12 veces, los estafadores también lograron inducir cambios de dirección en el US Post.

En 13 casos, también tuvieron éxito en reclamar reembolsos de impuestos en Estados Unidos.

Además, las direcciones de puntos fueron el punto de partida para nueve identidades falsas con los beneficios sociales para desempleados que se solicitaron.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris