El Traductor de Google y el phishing

¿Por qué un correo electrónico comercial puede tener un enlace al Traductor de Google?

Al hablar de los trucos de los ciberdelincuentes, siempre recomendamos comprobar de forma minuciosa la URL a la hora de dar clic en el enlace de un correo electrónico. Pues aquí otra señal de alerta: un enlace a una web traducida con el Traductor de Google. Puede ser que el remitente del correo te invite a visitar un sitio en un idioma diferente y solo esté tratando de ser útil. No obstante, en la práctica, esta táctica se usa frecuentemente para evadir los mecanismos antiphishing. Si el mensaje forma parte de la correspondencia comercial y el sitio que se abre tras dar clic en el enlace te pide que introduzcas la información de tu correo, cierra la ventana del navegador y elimina el correo electrónico cuanto antes.

Por qué los atacantes usan los enlaces del Traductor de Google

Veamos un ejemplo reciente de phishing mediante un enlace del Traductor de Google interceptado por nuestras trampas:

Ejemplo de e-mail con un enlace al Traductor de Google.

Los remitentes del correo electrónico alegan que el archivo adjunto es un tipo de documento de pago a disposición exclusiva del destinatario, por lo que ser estudiado para un “contrato de presentación de la reunión y pagos posteriores”. El enlace del botón Abrir lleva a un sitio traducido por el Traductor de Google. No obstante, esto solo se sabe al clicar, porque en el correo electrónico aparece así:

Enlace del botón “Abrir”.

Es probable que la redacción extraña forme parte de la estrategia: un intento de los atacantes por crear la impresión de que no son nativos ingleses para que el enlace del Traductor de Google luzca más convincente. O quizá no hayan visto antes un correo electrónico real con documentos financieros. Presta atención a los dos enlaces que aparecen a continuación (“Cancelar suscripción de esta lista” y “Gestionar preferencias de correo electrónico”), así como al dominio sendgrid.net en el enlace.

Estas son señales de que el mensaje no se envió de forma manual, sino mediante un servicio de correo legítimo; en este caso, el servicio SendGrid, pero se podría haber usado cualquier otro proveedor de servicios de correo electrónico (ESP por sus siglas en inglés). Los servicios de este tipo normalmente protegen su reputación y eliminan de forma continua las campañas de correo dirigidas al phishing, y bloquean a sus creadores. Es por esto que los atacantes ejecutan sus enlaces mediante el Traductor de Google: los mecanismos de seguridad del ESP ven un dominio legítimo de Google y no ven como sospechoso al sitio web. Dicho de otra forma, es un intento no solo de engañar al usuario final, sino también a los filtros del servicio intermediario.

¿Qué aspecto tiene un enlace a una página traducida por el Traductor de Google?

El Traductor de Google permite traducir sitios web completos simplemente pasándole un enlace y seleccionando los idiomas de origen y de destino. El resultado es un enlace a una página en la que el dominio original está separado por guiones y la URL se complementa con el dominio translate.goog, seguido del nombre de la página original y las claves que indican a qué idiomas se realizó la traducción. Por ejemplo, la URL de la traducción de la página de inicio de nuestro blog en inglés www.kaspersky.com/blog al español se verá así: www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.

El correo electrónico de phishing que analizamos buscaba atraer al usuario aquí:

Imitación de la página de inicio de sesión del correo.

La barra de direcciones del navegador muestra de forma clara que el enlace fue traducido por el Traductor de Google, a pesar de la cadena de caracteres basura.

Cómo protegerse

Para evitar que los empleados de la empresa caigan en estas trampas de los ciberdelincuentes, recomendamos que de forma periódica actualicen sus conocimientos sobre tácticas de phishing (por ejemplo, compartiéndoles enlaces relevantes de nuestro blog) o, mejor aún, concienciarlos sobre las ciberamenazas actuales con la ayuda de herramientas de aprendizaje especializadas. Por cierto, en el ejemplo pasado, un usuario formado nunca habría llegado tan lejos con la página de phishing: la posibilidad de que un documento financiero legítimo dirigido a un destinatario específico se mande mediante un proveedor de servicios de correo electrónico es bastante escasa, en el mejor de los casos. Hace un tiempo, publicamos sobre el phishing basado en este tipo de servicios.

Para más seguridad, otra recomendación es usar soluciones con tecnologías antiphishing tanto a nivel del servidor de correo corporativo como en todos los dispositivos de los empleados.

Consejos