+34 697 722 901 [email protected]

Esta última semana hay en activo una campaña de phishing en Facebook, dirigida principalmente a mercados hispanohablantes, cuyo modus operandi es el siguiente:

  • Utiliza Facebook Messenger para propagarse.
  • Utiliza de gancho una pregunta «Eres tú el que aparece en este vídeo?».
  • Lo envían amigos o conocidos que tengamos añadidos en la red social.

No se trata, por tanto, de ningún ataque nuevo. De hecho, justo lo contrario. Es tan básico, que desde CyberBrainers nos ha parecido interesante analizarlo como ejemplo de cómo funcionan las campañas de phishing o fraude vía Facebook.

¡Vamos a ello!

Cómo es el ataque

Como decíamos, todo comienza con un mensaje en Facebook Messenger que nos envía un amigo, con un escueto «¿Eres tú el que aparece en este vídeo?», por supuesto acompañado de una URL, lo que incita a pinchar.

campaña phining facebook messenger

Si lo hacemos, nos llevará a una página como la que puedes ver en la imagen principal de este artículo, que emula a la perfección el diseño de la página de iniciar sesión de Facebook, con una alerta que nos informa de que es necesario meter de nuevo los credenciales para ver ese contenido.

El único problema, por supuesto, es que esa no es la página de Facebook, sino un calco que está en un servidor de los cibercriminales. Si metemos ahí los datos, realmente se los estaremos dando en bandeja a los criminales.

Hasta aquí, todo normal.

Lo verdaderamente interesante del asunto es que aprendamos a identificar este tipo de campañas, diferenciándolas de un contenido lícito.

¡Vamos a ello!

Qué tenemos que saber para no caer en este tipo de timos

Primero de todo, cuando recibamos algún mensaje de un amigo o conocido, tenemos que pensar si tiene o no sentido.

Precisamente, con este amigo, había hablado por teléfono el día anterior, y me consta de que no usa muchísimo Facebook.

Para colmo, veo que comparte el enlace mediante un acortador de enlaces (raro para algo que compartes rápidamente), de forma que no puedo ver a simple vista a dónde dirige.

Y tampoco Facebook Messenger parece tener acceso a los metadatos del enlace (el título de la página, su dirección y si hay una descripción). Algo que pasa siempre que compartimos un enlace junto con texto (puedes probar ahora a escribirle a alguien con una dirección web y un texto, y verás cómo a los pocos segundos, Facebook muestra un extracto de la web en el propio mensaje).

Así que cuando lo recibí, automáticamente saltaron todas las alarmas.

Abrí, por supuesto desde una ventana de incógnito en un navegador que uso únicamente para pruebas, el enlace, y ya en ese momento me di cuenta de que la URL, es decir, la dirección web a la que apunta, no es facebook.com, sino otra bien distinta.

Solo con esto (fijarse en dónde acabamos realmente tras clicar en un enlace) ya debería ser suficiente. Y fíjate lo extraño que resulta que si ya estás en Facebook Messenger (por tanto, con tu usuario y contraseña de Facebook metidos) te saque de Facebook… para llevarte a la web de Facebook y pedirte que vuelvas a iniciar sesión…

¡Si esto es justo lo contrario que una app como Facebook quiere hacer! Lo que les interesa es que no salgas nunca de su entorno controlado.

Por último, es importante señalar que este mensaje se ha enviado desde la cuenta de nuestro conocido… porque él, seguramente sin querer, ha dado acceso a su cuenta a algún servicio que es el que ahora están utilizando los cibercriminales.

Exactamente igual que pasa con esas actualizaciones de estado públicas que hace un conocido, siempre enlazando a un contenido llamativo, y en el que te etiqueta a ti y a 100 personas más…

Casi seguro, las típicas aplicaciones chorra que te dicen cómo serías si fueses mujer, o qué pinta tendrás dentro de cuarenta años… Aplicaciones que, como ya hemos explicado, sirven de gancho precisamente para robar credenciales (te piden acceso a tu cuenta con la excusa de sacar los datos de tu imagen de perfil para hacer el cambio, y se quedan con tus datos de Facebook para futuras campañas de phishing).

Así que lo mejor que puedes hacer si recibes uno de estos de mensajes, es avisar a tu amigo o compañero de que revise a qué aplicaciones le ha dado acceso a su cuenta (dentro de configuración de cuenta, seguridad, lo tienes), y que elimine todo lo que no esté realmente utilizando.

Mucho ojo con estas cosas, que con la excusa de proteger tu reputación online, te pueden hacer justo lo contrario: usurparte la identidad.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂