Todos aquellos que cliquearon en una dirección y siguieron instrucciones corrieron el riesgo de dar a los hackers acceso a sus cuentas de email. Google dijo que inmediatamente tomó medidas y eliminó páginas y aplicaciones falsas.
El plan de phishing se desparramó durante la tarde de ayer. Los usuarios recibieron un email falso a través del servicio Document docs. El mail invitaba a editar un archivo pero los llevaba a una página falsa que daba a los hackers acceso no sólo a los mails sino también a la lista de contactos.
El mail fue enviado a más de un millón de usuarios ayer por la tarde y puso en ridículo a todo el sistema de seguridad en Internet. El mail era muy convincente y usaba el mismo lenguaje que Google docs y contenía el mismo botón que usa Google para abrir un documento parecía que el ataque provenía del mismo Google. Al cliquear en la dirección el usuario veía una serie de páginas que parecían ser el verdadero proceso de entrar a Google. Parecían por eran realmente páginas de Google. Lo que ocurrió fue que el hacker creó una app llamada “Google Docs” y la registró en Google. Por alguna razón, Google permitió que la app usara su proceso OAuth y a su vez engañara a mucha gente a entregar sus cuentas al hacker.
Google anuló el phishing de este gusano muy rápidamente, pero confirma que 0,1% de los usuarios fueron afectados, pero 0,1% de más de mil millones de usuarios significa más de un millón de personas.