Categories
Seguridad

Emails que enlazan a google docs y son spam

Sorprende la forma en la que los spammers van modificando su modo de actuación a lo largo del tiempo. Muchos servidores de correos como gmail, yahoo, outlook, etc., tienen filtros anti spam que trabajan muy bien y son capaces de discernir entre el grano y la paja. Sin embargo, a veces ocurre que llegan a tu bandeja de entrada correos que no deberían estar en ella. En este artículo hablo sobre correos electrónicos de google docs que llegan a tu bandeja de entrada libremente.

Correos de spam en la bandeja de entrada

Comparto una curiosidad que me ha ocurrido recientemente. Me levanto por la mañana y veo que tengo un correo electrónico en mi bandeja de entrada. No en la carpeta de spam, en la bandeja de entrada oficial de mi correo electrónico. El correo lo podéis ver en la Fig. 1.

spam
Figura 1. Mensaje recibido en la bandeja de entrada de mi inbox

En ese correo te invita a pulsar en un enlace que te dirige a un documento de google docs, pero en la parte de RECEIVE LETTER, está la dirección que el spammer quiere que realmente visites. En la parte inferior vienen personas a las que se les ha enviado ese mismo correo. Todas esas personas, incluido yo, están en listas de spam que ha recopilado de alguna manera la persona que nos envía este mensaje.

Quien envía el correo

Entrando en el correo electtrónico vemos que la dirección que lo envía es una dirección real y verídica de google docs, comments-noreply@docs.google.com, de ahí que el filtro anti spam no le ha prestado atención y le ha dejado entrar a mi bandeja de entrada.

Presentación auténtica de google docs

Se trata de un correo verídico de google docs, alguien me lo ha enviado y me ha llegado a través de un enlace. Si lo abrimos efectivamente llegamos a una página web oficial de google docs. Este documento, Fig. 2, se trata de una presentación, que incluye una única diapositiva en la cual se me invita a confirmar que tengo más de 18 años puesto que se trata de una página para adultos como veremos posteriormente.

Figura 2. Diapositiva en google docs que redirige a otra página web

Como puede apreciarse en la esquina superior derecha hay más de 10 personas observando esa presentación, personas que como yo les ha llegado el correo electrónico original. Esta presentación no tienes permiso para modificarla porque no eres el administrador. Sin embargo, si que puedes solicitar acceso, el cual, obviamente será denegado por el spammer.

He estado buscando la forma de reportar esa presentación desde dentro de google docs pero no la he encontrado. Desde la misma interfaz web de google docs no existe forma de notificar el uso inapropiado de un documento lo cual no deja de ser curioso y claramente equivocado. Sí que existe la opción, desde la herramienta Ayuda.

Analizando la url con herramientas online

Obviamente es un correo que me invita a entrar en una página web. Esa página web es de contenido adulto. Analizando la página con herramientas online como virus total, www.virustotal.com, me encuentro que hay una engine que detecta contenido malicioso. Puede verse en la Fig 3.

Figura 3. Resultado del análisis de la url desde virustotal.

La engine que ha detectado contenido malicioso es Forcepoint Threatseeker. Entramos en esa web y analizamos en detalle la url de nuevo.

Figura 4. Resultado del análisis de la url en Forcepoint

El resumen que proporciona esta página nos informa que el análisis en tiempo real del contenido de la url indica que la página web está comprometida y contiene contenido malicioso para el visitante. Recomiendan que no visites esa url desde un navegador web hasta que ese contenido sea eliminado.

Resumen

Podíamos resumir lo que ha ocurrido de este modo:

  • Un correo enviado desde google docs ha llegado directamente a mi bandeja de entrada, derrotando al filtro anti spam de mi servidor de correo electrónico.
  • El correo lo envía una dirección, comments-noreply@docs.google.com, es una dirección auténtica que usa google docs cuando tu compartes un fichero.
  • El correo me redirige a una presentación de google docs con una única diapositiva, donde viene un enlace a una página web externa.
  • No se puede denunciar uso inapropiado desde el interfaz web de google docs.
  • La página web a la que dirige la url de la presentación es una página web de contenido adulto.
  • La página web tiene contenido malicioso.

Por tanto, entiendo que se trata de una vulnerabilidad del filtro de correo electrónico que ha dejado pasar a mi bandeja de entrada una url porque es una dirección auténtica de google docs. Y además google docs no permite notificar contenido inapropiado.

Por último, conviene decir que al cabo de poco tiempo google tumbó ese documento, restablecíendose de nuevo el equilibrio en el universo.

Leave a Reply