Por revistaeyn.com
Google Forms, la herramienta de creación de formularios y cuestionarios de Google lanzada en 2008 que según una estimación casi el 50 % de las encuestas en línea la usan. Ofrece una gran oportunidad como forma de legitimar estafas y evadir filtros de seguridad.
La mayoría de los ataques mediante Google Forms tienen por fin engañar a los usuarios y hacerles entregar su información personal y financiera. Aunque existen ligeras variaciones en la forma, estas son algunas de las principales técnicas que destacan desde ESET para tener en cuenta:
Formularios relacionados con el phishing
“Los formularios maliciosos de Google Forms son diseñados para suplantar marcas legítimas, como páginas de inicio de sesión de redes sociales, bancos y universidades, o incluso plataformas de pago. Es más rápido, fácil y barato que crear un sitio dedicado al phishing, y es menos probable que sea bloqueado por los filtros de seguridad”, comenta Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.
Generalmente, se recibe un enlace a uno de estos formularios de Google maliciosos a través de un correo electrónico de suplantación de identidad, que puede estar falsificado para hacerse pasar por una marca o un remitente legítimos. El correo electrónico puede incluso proceder de una cuenta legítima que ha sido secuestrada.
Los atacantes envían un formulario malicioso de Google para engañar al usuario y que llame así a un número de teléfono que aparece allí. El formulario puede estar diseñado para que parezca enviado por un banco u otro proveedor de servicios de confianza.
Desde ESET advierte que si se llama a ese número, se hablará con un miembro de una banda de suplantación de identidad por voz (vishing) que intentará convencer para que se entregue información personal y financiera. También puede sugerir que se descargue un software de acceso remoto al equipo, lo que les daría el control total del mismo.
Concursos de preguntas y respuestas
Los ciberdelincuentes pueden abusar de la función de cuestionario de Google Forms, creando un cuestionario de preguntas y respuestas para hacer al usuario participar en un supuesto concurso. Al finalizar el quiz querrás ver los resultados y ahí es donde se verá un botón que al hacerle clic va a generar un mensaje que puede tener añadidos enlaces a sitios de phishing, malware o estafas.
El equipo de ESET enfatiza que la concientización es clave para mitigar estas amenazas, algunas recomendaciones son:
· Utilizar software de seguridad multicapa en computadoras y móviles, de un proveedor confiable.
· Estar alerta ante posibles estafas de phishing. No confiar en correos no solicitados que instan a hacer clic en enlaces o llamar con urgencia. Verificar siempre por canales oficiales.
· Utilizar contraseñas fuertes y únicas, almacenadas en un gestor de contraseñas, y activar autenticación multifactor (MFA).
· Recordar que Google advierte en sus formularios: "Nunca envíes contraseñas a través de los formularios de Google".
“Si ocurre lo peor y crees que has sido víctima de un ataque a Google Forms, cambia tus contraseñas, realiza un escaneado de malware y pide a tu banco que congele las tarjetas (si has enviado los datos de la tarjeta). Activa el doble factor de autenticación en todas las cuentas, si aún no lo has hecho, y supervisa tus cuentas para detectar cualquier actividad inusual”, concluye Camilo Gutiérrez Amaya de ESET Latinoamérica.
