El mundo digital es un espacio de constante evolución y, con él, también lo son las tácticas de los ciberdelincuentes. Recientemente, ha surgido una nueva forma de engaño en Facebook que utiliza la empatía y curiosidad de los usuarios para atraparlos en sus redes. Se trata de posts que llevan títulos sensacionalistas como "No puedo creer que se haya ido" o "Es tan trágico lo que le pasó", los cuales son señuelos para una estafa de phishing.
Una extensa campaña de phishing en una popular plataforma de redes sociales involucra mensajes como: "No puedo creer que se haya ido. Lo extrañaré mucho", los cuales engañan a los usuarios y los redirigen a un sitio web malicioso con el propósito de robar sus credenciales de la plataforma.
Este ataque de phishing se propaga ampliamente a través de cuentas comprometidas de contactos en la red social, mientras los atacantes construyen un gran número de cuentas robadas para utilizarlas en futuros intentos de estafa en la plataforma.
Dado que estas publicaciones provienen de las cuentas hackeadas de amigos, resultan más convincentes y confiables, lo que lleva a que muchas personas caigan en la trampa.
Esta campaña de phishing se inició aproximadamente hace un año y, a pesar de los esfuerzos de la plataforma para bloquear estas publicaciones, continúa en curso hasta la fecha. No obstante, cada vez que se detectan y reportan nuevas publicaciones, la plataforma deshabilita los enlaces de redirección que llevan a Facebook.com en dichas publicaciones, lo que impide que funcionen.
Te podrá interesar: Detecta si estás en un Sitio Web Pirateado
En las publicaciones de phishing en una plataforma de redes sociales, se encuentran dos variantes de mensajes. Una de ellas simplemente dice: "No puedo creer que se haya ido. Lo extrañaré mucho" y contiene un enlace de redirección que dirige a los usuarios a la plataforma.
La otra variante utiliza el mismo texto pero muestra lo que parece ser un video de BBC News relacionado con un accidente automovilístico u otra escena del crimen. Cuando se realizaron pruebas en los enlaces de estas publicaciones de phishing, se observó que redirigían a diferentes sitios dependiendo del tipo de dispositivo utilizado.
Al hacer clic en el enlace desde la aplicación de Facebook en un dispositivo móvil, los visitantes eran redirigidos a un sitio de noticias ficticio denominado 'NewsAmericaVideos', que solicitaba el ingreso de las credenciales de Facebook para verificar la identidad y permitir la visualización del video.
Para persuadir a los visitantes a ingresar sus contraseñas, se mostraba una imagen borrosa en el fondo, que en realidad era una imagen descargada de Discord. Si alguien ingresaba sus credenciales de Facebook, los actores maliciosos las robaban y el sitio redirigía al usuario a Google.
Conoce más sobre: NodeStealer: Anuncios Seductores que Hackean Facebook
Aunque no se conoce el propósito exacto de las credenciales robadas, es probable que los atacantes las utilicen para promover las mismas publicaciones de phishing a través de las cuentas pirateadas.
Cuando se visitaban las páginas de phishing desde una computadora de escritorio, se observaba un comportamiento diferente: los sitios redirigían a los usuarios a Google u otras estafas que promocionaban aplicaciones VPN, extensiones de navegador o sitios afiliados.
Esta estafa de phishing está ampliamente difundida, y se detectan numerosas publicaciones creadas diariamente por amigos y familiares cuyas cuentas fueron pirateadas sin su conocimiento mediante este mismo método.
Dado que este ataque de phishing no tiene como objetivo robar tokens de autenticación de dos factores (2FA), se recomienda encarecidamente que los usuarios de la plataforma de redes sociales habiliten la autenticación de dos factores (2FA) para proteger sus cuentas en caso de caer en una estafa de phishing.
Una vez habilitada, la plataforma solicitará un código de acceso único cada vez que se utilicen las credenciales para iniciar sesión desde una ubicación desconocida. Dado que solo el propietario de la cuenta tendrá acceso a estos códigos, incluso si las credenciales son robadas, los atacantes no podrán acceder a la cuenta.
Para una mayor seguridad al habilitar la autenticación de dos factores en la plataforma, se recomienda utilizar una aplicación de autenticación en lugar de mensajes de texto SMS, ya que los números de teléfono pueden ser vulnerables a ataques de intercambio de SIM.
Te podrá interesar leer: Detección de Ataques de Phishing con Wazuh
La nueva táctica de phishing en Facebook que utiliza posts con títulos como "No puedo creer que se haya ido" es un recordatorio de que siempre debemos estar alerta en el mundo digital. Al entender cómo funcionan estas estafas y al tomar medidas proactivas para protegernos, podemos navegar en internet de manera más segura. Recuerda, la prevención y el conocimiento son tus mejores herramientas contra el phishing y otros tipos de fraudes en línea.