Esta última semana hay en activo una campaña de phishing en Facebook, dirigida principalmente a mercados hispanohablantes, cuyo modus operandi es el siguiente:
- Utiliza Facebook Messenger para propagarse.
- Utiliza de gancho una pregunta «Eres tú el que aparece en este vídeo?».
- Lo envían amigos o conocidos que tengamos añadidos en la red social.
No se trata, por tanto, de ningún ataque nuevo. De hecho, justo lo contrario. Es tan básico, que desde CyberBrainers nos ha parecido interesante analizarlo como ejemplo de cómo funcionan las campañas de phishing o fraude vía Facebook.
¡Vamos a ello!
Cómo es el ataque
Como decíamos, todo comienza con un mensaje en Facebook Messenger que nos envía un amigo, con un escueto «¿Eres tú el que aparece en este vídeo?», por supuesto acompañado de una URL, lo que incita a pinchar.
Si lo hacemos, nos llevará a una página como la que puedes ver en la imagen principal de este artículo, que emula a la perfección el diseño de la página de iniciar sesión de Facebook, con una alerta que nos informa de que es necesario meter de nuevo los credenciales para ver ese contenido.
El único problema, por supuesto, es que esa no es la página de Facebook, sino un calco que está en un servidor de los cibercriminales. Si metemos ahí los datos, realmente se los estaremos dando en bandeja a los criminales.
Hasta aquí, todo normal.
Lo verdaderamente interesante del asunto es que aprendamos a identificar este tipo de campañas, diferenciándolas de un contenido lícito.
¡Vamos a ello!
Qué tenemos que saber para no caer en este tipo de timos
Primero de todo, cuando recibamos algún mensaje de un amigo o conocido, tenemos que pensar si tiene o no sentido.
Precisamente, con este amigo, había hablado por teléfono el día anterior, y me consta de que no usa muchísimo Facebook.
Para colmo, veo que comparte el enlace mediante un acortador de enlaces (raro para algo que compartes rápidamente), de forma que no puedo ver a simple vista a dónde dirige.
Y tampoco Facebook Messenger parece tener acceso a los metadatos del enlace (el título de la página, su dirección y si hay una descripción). Algo que pasa siempre que compartimos un enlace junto con texto (puedes probar ahora a escribirle a alguien con una dirección web y un texto, y verás cómo a los pocos segundos, Facebook muestra un extracto de la web en el propio mensaje).
Así que cuando lo recibí, automáticamente saltaron todas las alarmas.
Abrí, por supuesto desde una ventana de incógnito en un navegador que uso únicamente para pruebas, el enlace, y ya en ese momento me di cuenta de que la URL, es decir, la dirección web a la que apunta, no es facebook.com, sino otra bien distinta.
Solo con esto (fijarse en dónde acabamos realmente tras clicar en un enlace) ya debería ser suficiente. Y fíjate lo extraño que resulta que si ya estás en Facebook Messenger (por tanto, con tu usuario y contraseña de Facebook metidos) te saque de Facebook… para llevarte a la web de Facebook y pedirte que vuelvas a iniciar sesión…
¡Si esto es justo lo contrario que una app como Facebook quiere hacer! Lo que les interesa es que no salgas nunca de su entorno controlado.
Por último, es importante señalar que este mensaje se ha enviado desde la cuenta de nuestro conocido… porque él, seguramente sin querer, ha dado acceso a su cuenta a algún servicio que es el que ahora están utilizando los cibercriminales.
Exactamente igual que pasa con esas actualizaciones de estado públicas que hace un conocido, siempre enlazando a un contenido llamativo, y en el que te etiqueta a ti y a 100 personas más…
Casi seguro, las típicas aplicaciones chorra que te dicen cómo serías si fueses mujer, o qué pinta tendrás dentro de cuarenta años… Aplicaciones que, como ya hemos explicado, sirven de gancho precisamente para robar credenciales (te piden acceso a tu cuenta con la excusa de sacar los datos de tu imagen de perfil para hacer el cambio, y se quedan con tus datos de Facebook para futuras campañas de phishing).
Así que lo mejor que puedes hacer si recibes uno de estos de mensajes, es avisar a tu amigo o compañero de que revise a qué aplicaciones le ha dado acceso a su cuenta (dentro de configuración de cuenta, seguridad, lo tienes), y que elimine todo lo que no esté realmente utilizando.
Mucho ojo con estas cosas, que con la excusa de proteger tu reputación online, te pueden hacer justo lo contrario: usurparte la identidad.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.