Symantec ha emitido una advertencia sobre lo que parece ser una estafa exitosa perpetrada contra los usuarios de servicios de correo web como Gmail, Outlook y Yahoo.

la estafa se explica en el siguiente video corto realizado por Symantec.

(digo que es un video corto, y es un video corto de solo 2 minutos y 17 segundos., Pero claramente Symantec siente que tiene la capacidad de atención de un pez dorado, por lo que han agregado un ritmo funky en el fondo para evitar que se quede dormido).

para aquellos que no pueden soportar la música de fondo, aquí hay una explicación de cómo puedes robar una cuenta de correo electrónico, solo conociendo el número de teléfono móvil de tu víctima.

en el siguiente ejemplo imaginaremos que un atacante está intentando hackear una cuenta de Gmail que pertenece a una víctima llamada Alice.,

Alice registra su número de teléfono móvil con Gmail para que si alguna vez olvida su contraseña Google le envíe un mensaje de texto SMS que contiene un código de verificación de rescate para que pueda acceder a su cuenta.

Un tipo malo – llamémoslo Malcolm-está dispuesto a entrar en la cuenta de Alice, pero no sabe su contraseña. Sin embargo, sí sabe la dirección de correo electrónico y el número de teléfono de Alice.

entonces, visita la página de inicio de sesión de Gmail e ingresa la dirección de correo electrónico de Alice. Pero Malcolm no puede introducir correctamente la contraseña de Alice, por supuesto (porque él no lo sabe).,

así que en su lugar hace clic en » ¿Necesita ayuda?»enlace, normalmente utilizado por usuarios legítimos que han olvidado sus contraseñas.

en lugar de elegir una de las otras opciones, Malcolm selecciona «Obtener un código de verificación en mi teléfono:» para enviar un mensaje SMS que contiene un código de seguridad de seis dígitos al teléfono móvil de Alice.

esto es donde las cosas se ponen furtivas.

porque en este punto, Malcolm envía a Alice un texto fingiendo ser Google, y diciendo algo como:

«Google ha detectado actividad inusual en su cuenta., Responda con el código enviado a su dispositivo móvil para detener la actividad no autorizada.»

Alice, creyendo que el mensaje es legítimo, responde con el código de verificación que acaba de ser enviado por Google.

Malcolm puede usar el código para establecer una contraseña temporal y obtener el control sobre la cuenta de correo electrónico de Alice.,

Si Malcolm estaba dispuesto a no levantar sospechas, y continuar para ver todos los correos que reciba Alicia en el futuro previsible, entonces puede ser que él se vuelva a configurar su correo electrónico para reenviar automáticamente los mensajes de futuro a una cuenta bajo su control y, a continuación, enviar un SMS con la contraseña restablecida:

«Gracias por verificar tu cuenta de Google., Su contraseña temporal es »

incluso si Alice Cambia su contraseña en una fecha posterior, Malcolm continuará recibiendo su correspondencia privada por correo electrónico a menos que revise cuidadosamente la configuración de su cuenta.

En resumen, es una pieza desagradable de ingeniería social que es fácil de imaginar trabajando contra muchas personas.

entonces, ¿cuál es la solución?

bueno, el consejo más simple es desconfiar de los mensajes SMS que le piden que envíe un código de verificación, en particular si no solicitó un código de verificación en primer lugar.,

sin embargo, me pregunto cuántas personas cuando se enfrentan a un mensaje que creen que es de Google o Yahoo actuarían inmediatamente, sin pensar en las consecuencias. Después de todo, una de las mayores preocupaciones que muchas personas pueden tener en este día y edad es ser cortado de su cuenta de correo electrónico.

para más detalles, echa un vistazo a la entrada del blog de Symantec Slawomir Grzonkowski.

y para obtener consejos sobre cómo proteger mejor su cuenta de correo electrónico web, asegúrese de escuchar este episodio del podcast» Smashing Security»:

¿encontró este artículo interesante?, Sigue a Graham Cluley en Twitter para leer más del contenido exclusivo que publicamos.