La página, con un inicio de sesión falso, parece provenir realmente de Google por medio de SSL, dijo Symantec. Para los usuarios puede ser difícil de identificar como una estafa.

Las víctimas potenciales reciben un correo con el asunto "Documentos", invitándolos a dar clic en la liga de un documento importante, escribió Nick Johnston de Symantec en una entrada de blog.

Al acceder a la liga, el usuario no es conducido a Google Docs, si no a una página de inicio de sesión que se parece a muchos de los servicios en línea de Google.

El inicio de sesión falso está "actualmente alojado en los servidores de Google y es servido mediante SSL (Secure Sockets Layer), haciendo a la página más convincente" escribió Johnston.

"Los estafadores simplemente crearon una carpeta dentro de una cuenta de Google Drive, haciéndola pública, actualizaron el archivo y usaron la característica de vista previa de Google Drive para conseguir una URL accesible públicamente para incluir su mensaje" añadió.

Si un usuario muerde el anzuelo, su nombre de usuario y contraseña son enviados a un script en PHP de un servidor comprometido, escribió Johnston. La página con el falso inicio de sesión subsecuentemente redirige a los documentos de Google Docs.

"Las cuentas de Google son un objetivo importante para los estafadores, ya que pueden ser usadas para acceder a muchos servicios, incluyendo Gmail y Google Play. Estos servicios son utilizados para adquirir aplicaciones de Android y otro contenido" escribió Johnston.