Los investigadores han descubierto una sofisticada campaña de phishing que explota la confianza que los usuarios depositan en sitios web conocidos como Google Drawings y WhatsApp. Este ataque, categorizado por Menlo Security como una amenaza de «Living Off Trusted Sites» (LOTS), manipula hábilmente estas plataformas legítimas para engañar a las víctimas y lograr que entreguen su información personal y financiera. El ataque comienza con un correo electrónico de phishing que dirige a los destinatarios a lo que parece ser un enlace de verificación de cuenta de Amazon. Sin embargo, este enlace es un gráfico engañoso alojado en Google Drawings, un componente de la suite Google Workspace. Este servicio normalmente no está marcado por las herramientas de seguridad tradicionales, lo que lo convierte en una opción atractiva para los atacantes. El gráfico contiene un enlace que, al hacer clic, inicia el esquema de phishing redirigiendo al usuario a través de una serie de URL acortadas, que finalmente conducen a una página de inicio de sesión falsa de Amazon. Para ocultar aún más sus intenciones, los atacantes utilizan un acortador de URL de WhatsApp, «l.wl.co», que no muestra advertencias sobre redirecciones. Luego, el enlace se acorta aún más utilizando «qrco».[.]de», un servicio de código QR dinámico, lo que dificulta aún más que los escáneres de seguridad detecten el sitio malicioso. Una vez que la víctima llega a la página falsificada de Amazon, se le solicita que ingrese información confidencial en varios pasos, incluidas las credenciales de inicio de sesión, los detalles personales, la información de facturación y los datos de la tarjeta de pago. «Las credenciales de la víctima se recopilan a medida que completa cada uno de los cuatro pasos y se envían al atacante utilizando diferentes rutas de URL alojadas en el mismo dominio», explicó Menlo. «Incluso si la víctima cambia de opinión o se detiene en medio de la entrega de esta información, el atacante aún obtiene datos vitales de cada paso que ya se ha completado». Lea más sobre técnicas de phishing: Dropbox utilizado para robar credenciales y eludir la MFA en una nueva campaña de phishing Según Menlo Security, la sofisticación de este ataque subraya las limitaciones de confiar únicamente en la educación del usuario y las herramientas de seguridad convencionales para prevenir el phishing. «Es tentador creer que la educación del usuario es la solución, pero los hechos cuentan una historia diferente. «Si bien la capacitación en seguridad para los usuarios es ciertamente útil, es un error confiar únicamente en la capacitación. Simplemente, hay demasiados tipos de ataques diferentes», escribió la empresa. En cambio, los expertos en seguridad enfatizaron la necesidad de medidas de protección avanzadas, como el análisis de inteligencia artificial en tiempo real, para detectar y neutralizar dichas amenazas de manera efectiva.