Una investigación de Citizen Lab ha expuesto una campaña de espionage y falsa propaganda masiva con denominación de origen rusa empleando ataques de phishing, técnica que engaña a la víctima suplantando la identidad de un servicio de confianza para obtener sus credenciales de acceso.
Los cibercriminales establecieron a más de 200 víctimas como el objetivo de esta campaña, incluyendo a periodistas, activistas críticos con el gobierno ruso, altos ejecutivos de grandes compañías energéticas o personas afiliadas con el dispositivo militar ucraniano.
La investigación comenzó a través de David Satter, un periodista muy famoso por sus críticas al Kremlin. Se le prohibió la entrada en 2013 debido a la investigación que realizó y publicó sobre la autarquía rusa.
En 2016, Satter ingresó sus credenciales en una web destinada a su robo por error. Los cibercriminales ganaron acceso a sus emails y los publicaron con varias modificaciones para difamarlo. Los autores son presuntamente el grupo Fancy Bear, que muchos creen relacionado con el servicio de inteligencia militar ruso.
El grupo realizó un ataque inteligente, logrando enmascarar el emisor del email, y enlazando el botón de cambiar contraseña a través de un enlace acortado de Tiny.cc y enmascarado a través del servicio Google Amp. Una persona que no presté demasiada atención, verá un enlace legitimo, que le llevará a dar sus credenciales y toda la información que se hospeda en su cuenta a los cibercriminales.
Usar Amp pudo hacer saltar los filtros que advierten de ataques de este tipo dentro de Gmail.
Curiosamente, Citizen Lab señala que el email que le llegó al periodista lo hizo días antes de que Google advirtiera a los periodistas de que hackers respaldados por algunos gobiernos estaban usando links maliciosos enmascarados a través del servicio Tiny.cc.
En marzo, los servicios de Google también fueron empleados para llevar a cabo ataques de phishing muy sofisticados en los que se usaba un enlace para editar un documento, proveniente de Google, y se pedía introducir tus credenciales dentro de una web de Google. Pronto la compañía arregló el agujero de seguridad tras ser expuesto en Reddit.
Ver 3 comentarios