Tim Cotten , un desarrollador de software de Washington, DC, estaba respondiendo a una solicitud de ayuda de una colega la semana pasada, que creía que su cuenta de Gmail había sido pirateada, cuando descubrió algo falso . La evidencia presentada fue varios correos electrónicos en su  carpeta de Enviados , supuestamente enviados por ella a sí misma.

Cotten se quedó atónito cuando, tras el diagnóstico inicial, descubrió que los correos electrónicos enviados no provenían de su cuenta, sino de otra, que Gmail, que es el servicio de correo electrónico organizado, solo se archiva en su carpeta Enviados . ¿Por qué haría eso si el correo electrónico no fuera de ella? Parece que mientras la tecnología de filtrado y organización de Google funcionó a la perfección, algo salió mal cuando Gmail trataba de procesar los mensajes de correo electrónico  A partir de campos.

Este truco es un placer para los phishers.

Cotten anotó en una publicación del blog que el encabezado De de los correos electrónicos en la carpeta Enviados de su compañero de trabajo  contenía (1) la dirección de correo electrónico del destinatario y (2) otro texto, generalmente un nombre, posiblemente para una mayor credibilidad. La presencia de la dirección del destinatario provocó que Gmail moviera el correo electrónico a la carpeta Enviados y que ignorara la dirección de correo electrónico del remitente real.

Encabezado extraño «De». Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

¿Por qué un delincuente cibernético elaboraría un correo electrónico que nunca termina en la bandeja de entrada de una víctima? Esta táctica es particularmente útil para una campaña de phishing que se basa en la confusión del destinatario.

“Imagine, por ejemplo, el escenario en el que se podría crear un correo electrónico personalizado que imita los correos electrónicos anteriores que el remitente ha enviado legítimamente y que contiene varios enlaces. Una persona podría, al querer recordar cuáles eran los enlaces, regresar a su carpeta enviada para encontrar un ejemplo: ¡desastre! ”, Escribió Cotten.

Cotten proporcionó una demostración de Bleeping Computer en la que mostró un remitente potencialmente malintencionado falsificando el campo De mostrando un nombre diferente al destinatario. Esto puede generar una alta rotación de víctimas si se usa en una campaña fraudulenta por parte del CEO / correo electrónico comercial (BEC), anotaron.

Después de alertar sobre este error, Cotten, sin saberlo, abrió las compuertas para que otros investigadores de seguridad presenten sus errores descubiertos de Gmail. Eli Gray , por ejemplo, compartió el descubrimiento de un error en 2017 que permitió la suplantación de correos electrónicos, que se corrigió en la versión web de Gmail pero sigue siendo un defecto en la versión de Android. Un comentarista del foro  afirmó que la aplicación de correo de iOS también tiene la misma falla.

Otra agita el polvo.

Días después de revelar públicamente el error de Gmail, Cotten descubrió otra falla en la que los actores maliciosos pueden ocultar los detalles del remitente en el encabezado De al forzar a Gmail a mostrar un campo completamente en blanco.

¿Quién es el remitente? Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

Lo logró al reemplazar una parte de su caso de prueba por una cadena de código larga y arbitraria, como puede ver a continuación:

La cuerda. Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

Los usuarios promedio de Gmail pueden tener dificultades para revelar el verdadero remitente porque al hacer clic en el botón Responder y la opción «Mostrar original» aún aparece un campo en blanco.

El remitente sin nombre. Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

¡No hay nada allí! Captura de pantalla de Tim Cotten, énfasis (en púrpura) nuestro.

La falta de detalles del remitente podría aumentar la posibilidad de que los usuarios abran un correo electrónico malicioso para hacer clic en un enlace incrustado o abrir un archivo adjunto, especialmente si contiene un tema que sea tanto procesable como urgente.

Cuando se encontró con el silencio

Las vulnerabilidades de Gmail que se mencionan en esta publicación están relacionadas con la experiencia del usuario (UX) y, hasta el momento, Google aún no las ha abordado. (Cotten ha propuestouna posible solución para el gigante tecnológico). Desafortunadamente, los usuarios de Gmail solo pueden esperar las correcciones.

Detectar intentos de phishing o correos electrónicos falsificados puede ser complicado, especialmente cuando los cibercriminales pueden penetrar en fuentes confiables, pero un poco de vigilancia puede recorrer un largo, largo camino.