Google la lía: El portal de login de Office 365 no es de Microsoft
«Office 365 login». Con esas palabras, muchas personas comienzan su jornada laboral para autenticarse en las herramientas web de Microsoft, con las que sus empresas están integradas. Esta búsqueda en Google suele arrojar como primer resultado el enlace al portal de Office.
En el día de hoy (cuando escribimos esto es 3 de octubre), al realizar esta búsqueda en Google, un fallo en el famoso motor de búsqueda ha causado que el enlace objetivo terminase en la página de login de GoDaddy. Esto podría haber permitido que muchos usuarios se confundiesen y confiasen a este portal web las credenciales para acceder a la suite de Microsoft 365.
En la siguiente imagen, se muestra cómo Google pone como enlace principal de «Sign In – Outlook» la URL que acaba redirigiendo a GoDaddy:
Este enlace (https://outlook.office.com/owa/?realm=masterworksdesign.com), que inicialmente no guarda ningún tipo de relación con GoDaddy, acaba redirigiendo a su portal web.
No existe ningún tipo de confirmación, pero la redirección podría deberse a la integración que realizó Microsoft con esta empresa proveedora de dominios para permitir a sus usuarios personalizar los dominios de sus direcciones de correo electrónico, tal como se muestra en el siguiente enlace:
Si bien, cabe señalar que, en ocasiones, este tipo de errores son llevados a cabo por actores maliciosos, indexando en Google como primer resultado un portal falso de webmail/VPN de una empresa. Lo cual da pie a ataques de suplantación de identidad.
Regresando al caso que nos ocupa, debemos indicar que un aspecto que agrava la situación es la integración que ha realizado GoDaddy con Microsoft en su propio panel de login. Se muestra el logo de Microsoft 365 sobre los campos de usuario y contraseña, provocando que el usuario pueda no fijarse en el logo menos llamativo de GoDaddy o en la URL de la página que está visitando.
Las consecuencias de la confusión GoDaddy-Microsoft 365
Las consecuencias directas de esta situación, en caso de que haya usuarios que no se den cuenta del problema provocado por Google, desencadenarían múltiples fallos de login en el panel de GoDaddy, enviando a esta web los datos de autenticación de Office 365. Esto podría tener una gran repercusión dado que esas credenciales suelen ser exactamente las mismas que se usarían para autenticarse tanto con cuentas personales como en servicios internos de las compañías en las que trabajan, como la VPN u otras aplicaciones corporativas.
En caso de completar el formulario de autenticación, las credenciales del usuario son enviadas a la plataforma de Single Sign On de GoDaddy. Esta situación puede confirmarse mediante la siguiente captura de tráfico HTTPS:
Por lo que hemos podido analizar, no es la primera vez que sucede esta situación. Este mismo comportamiento se produjo el 19 de Agosto de 2021.
Si bien esta situación no es debida a ninguna actuación maliciosa, sí que es verdad que aquellas personas que hayan realizado la autenticación han compartido de forma no intencionada su credenciales personales o corporativas con GoDaddy.
Actualmente, solo queda esperar a que Google resuelva esta situación para evitar que otros usuarios en el futuro se vean afectados. Para dejar constancia de este incidente, incluimos el enlace a la búsqueda de Google en el día de hoy, que contiene la citada redirección:
La URL a la que apunta la entrada «Sign In – Outlook» apunta a: https://outlook.office.com/owa/?realm=masterworksdesign.com
Como evidencia de esta situación, que esperamos sea resuelta en un breve periodo de tiempo, mostramos el enlace de la indexación de dicha situación en la plataforma Web Archive:
Recomendaciones a tener en cuenta
- Acceder siempre a los servicios de Office 365 a través de sus aplicaciones o URL oficial, preferiblemente haciendo uso de marcadores web o accesos directos.
- Educar a los usuarios para identificar este tipo de situaciones prestando atención a la URL que se esté visitando, así como cambios en la interfaz de autenticación. Si bien en este caso no se trata de una campaña maliciosa, se recomienda como parte de la estrategia de seguridad corporativa realizar periódicamente ejercicios de concienciación para los empleados. Estos vectores de ataque de ingeniería social representan un gran porcentaje de intrusiones en organizaciones, dando lugar a infecciones de ransomware u otros tipos de software maliciosos.
- Notificar a los usuarios de las organizaciones de esta situación concreta para evitar exposiciones de credenciales, así como solicitar cambios en las contraseñas de aquellas personas que se hayan visto afectadas por este incidente.
Editado (12:00, 05/10/2022): Ahora mismo, Google ha dejado de mostrar el enlace de «Sign in – Outlook», así que este problema está resuelto por el momento.