Usuarios de todo el mundo están recibiendo correos electrónicos aparentemente legítimos de YouTube en estos días, que resultan ser estafas después de una inspección cuidadosa. Los correos electrónicos, que parecen legítimos a primera vista, afirman compartir un video con los usuarios del equipo de YouTube que les informa sobre los cambios en las reglas y políticas.
La dirección de correo electrónico es legítima, ya que es no-reply@youtube.com , y puede ser difícil para los usuarios determinar si el correo electrónico es legítimo o falso.
Los usuarios cuidadosos pueden notar algunas rarezas en el correo electrónico, como el Equipo de YouTube, en lugar del nombre del Equipo de YouTube, que Google usaría. Si bien hay un enlace a un video, también se adjunta la descripción del video, que incluye un enlace a un documento protegido con contraseña en Google Drive. También hay una advertencia de que los usuarios tienen solo unos días para abrir el documento.
El nombre del canal tiene un enlace a YouTube, y existe la posibilidad de que ya haya sido cancelado debido a violaciones de las políticas de YouTube con respecto a la suplantación de identidad. Es posible que otros canales aún estén activos, y es probable que muestren algunos videos reales de YouTube para que parezcan legítimos. Los videos están configurados como privados y no se pueden abrir.
La cuenta oficial de Twitter de YouTube ha advertido a los usuarios sobre esta nueva campaña de phishing que se dirige específicamente a los usuarios de YouTube.
Detrás de la cortina de la campaña de phishing
En primer lugar, es importante darse cuenta de que la campaña de phishing está explotando una función de YouTube para enviar correos electrónicos de phishing desde el propio dominio de YouTube. Esto le da mucha legitimidad y también significa que evitará muchos filtros de correo electrónico y herramientas de seguridad que, de otro modo, lo habrían marcado como correo no deseado.
Los editores de YouTube pueden configurar los videos que cargan como privados. Privado significa que los videos no se pueden reproducir si se conoce la URL del video. Sin embargo, lo que pueden hacer los editores es compartir el acceso a estos videos.
Y es esta funcionalidad de compartir de la que abusan los actores de amenazas. Los videos privados se pueden compartir con otros usuarios de YouTube. Todo lo que se requiere para eso es ingresar la dirección de correo electrónico de uno o varios usuarios y marcar la opción de correo electrónico, para que estos usuarios reciban un correo electrónico al respecto.
Estos correos electrónicos se envían desde youtube.com y muestran el nombre del canal, que es un nombre personalizado seleccionado por el creador del canal, el enlace del video y la descripción del video.
Aquí hay un video de YouTube que habla sobre la estafa en detalle:
Cómo protegerse de esta estafa
Muchas de las protecciones habituales contra las campañas de phishing no se aplican a esta. El dominio del correo electrónico se verifica y es legítimo.
Estos correos electrónicos tienen señales de alerta, y es importante darse cuenta de que estas señales de alerta ayudan a determinar los correos electrónicos legítimos que provienen de YouTube de los ilegítimos:
- Un archivo de Google Drive protegido con contraseña. Google/YouTube nunca usaría esta forma de comunicación.
- Que el video sea privado (lo cual notarás cuando intentes reproducirlo).
- Que YouTube no haya publicado una notificación sobre los supuestos cambios en la cuenta de Google, distintos al video compartido.
Google está trabajando para solucionar el problema. Es posible que haya cambiado el título de los correos electrónicos que ya se comparten de forma privada. Cuando intentamos replicar esto configurando un video como privado y compartiéndolo, el correo electrónico que recibimos decía "se compartió un video privado contigo". No recibimos "nombre del canal que te envió un video".
Palabras de cierre
Los correos electrónicos de phishing y estafa que provienen de dominios legítimos son más efectivos, ya que pueden pasar por alto los filtros y otras funciones de protección. Si están redactados como los videos de YouTube, abren las puertas al abuso.
