La semana pasada se anunció la filtración de casi 7 millones de cuentas de usuario del servicio de almacén de datos en la nube Dropbox. Inmediatamente la empresa lanzó un comunicado advirtiendo que sus servidores no habían sido hackeados y que el origen de las contraseñas debía ser bien por herramientas de terceros o por haber probado satisfactoriamente contraseñas sustraídas de otros servicios dado que la gente tendemos a usar una misma clave de acceso para todos nuestros servicios en la red.

Hoy ha salido a la luz una posible fuente de esas contraseñas, Nick Johnston de la empresa de seguridad Symantech ha anunciado en el blog oficial que se ha detectado un email malicioso del tipo phishing, suplantando la identidad del servicio de almacenamiento. Las víctimas reciben un correo en su bandeja de entrada avisándoles de que alguien está compartiendo con ellos algún tipo de fichero. El enlace contenido en el correo les lleva a una página donde deben insertar sus credenciales para poder acceder a dicho fichero compartido.

Email phishing Dropbox


Pero la página a la que se accede no es la página real de autentificación del servicio, sino una emulación o copia de la original que se encargará de recopilar todos los intentos de logueo de los usuarios víctimas del ataque y posteriormente remitirlos al creador del falso correo para poder aprovecharlas, normalmente con fines económicos ya sea chantajeando a los propietarios robando su información o vendiendo la lista a terceros para seguir haciendo spam o simplemente para poder suplantar su identidad normalmente en redes sociales.

Login fake Dropbox


La clave del asunto está en que la página fraudulenta está albergada en los propios servidores de Dropbox, por lo que el acceso se hace a través del propio domino y haciendo uso de los certificados de seguridad y encriptado, por lo que la víctima y cualquier herramienta de detección de malware que tenga creerán en todo momento que el servicio es legítimo, anulando todas las recomendaciones que hicieron desde la propia empresa hace algunos días en su blog para evitar que más cuentas fueran sustraídas.

Al igual que ellos, desde Técnicos Web siempre les recomendamos revisar y comprobar que la página a la que se accede es la oficial del sitio, pero en éste caso eso no será suficiente por lo que se deberán extremar las precauciones y desechar cualquier comunicación que se reciba y acceder directamente y por nuestra cuenta a la página oficial para asegurar que vamos al sitio correcto.