La compañía de ciberseguridad Abnormal Security ha descubierto una nueva campaña de phishing que trata de engañar a los usuarios con el fin de hacerse con sus datos de Facebook. A través de un correo electrónico, en el que intentan suplantar la identidad del equipo de la red social, avisan a los usuarios de que podrían perder sus cuentas y les instan a rellenar un falso formulario para evitarlo.
El phishing es uno de los vectores de entrada de malware más comunes y sus técnicas son cada vez más sofisticadas, por lo que resulta bastante lucrativo para los ciberdelincuentes. Estos suelen combinar algunas tácticas de ingeniería social, como la suplantación de indentidad de grandes marcas y generar una sensación de urgencia o miedo para poner a sus víctimas exactamente donde ellos quieren.
A pesar de llevar bastante tiempo entre nosotros, estas artimañas siguen dando sus frutos. El término phishing ya se acuñó en 1996, tras el primer ataque registrado contra America Online (AOL). Si bien es cierto que, desde entonces, el mundo ha cambiado mucho, la psicología humana apenas se ha visto alterada, por lo que los métodos de manipulación siguen funcionando, a pesar de que ahora seamos más conscientes de estas amenazas.
De hecho, un informe reciente de Check Point revelaba que el phishing continúa siendo uno de los métodos más utilizados por los piratas informáticos. Dicho informe enumeraba cuáles fueron las compañías más afectadas durante el primer trimestre del año. En ese caso, Linkedin lideraba la clasificación en cuanto a suplantación de identidad, pero sorprendía la ausencia de otras redes sociales como Facebook.
Todo comienza con un aviso de suspensión de cuentas
Ahora, Abnormal Security ha averiguado que está proliferando una nueva campaña de phishing destinada a obtener las credenciales de los usuarios de la red social de Zuckerberg. Lo más peculiar de sus hallazgos tiene que ver con los métodos que están utilizando, ya que utilizan el propio Facebook como tapadera.
El proceso es el siguiente: los actores de amenazas envían un correo electrónico a sus potenciales víctimas haciéndose pasar por Facebook. En él, informan a los usuarios de que sus cuentas pueden ser suspendidas, ya que han sido denunciadas por publicar contenido que infringía las políticas de la red social, por lo que, en caso de querer solucionarlo, pueden acceder a un enlace incluido en el mensaje que lleva a un formulario de apelación.
Al pinchar en el enlace en cuestión, los usuarios accederán a una página de Facebook totalmente real que asusta aún más, ya que avisa a los usuarios de que solo cuentan con un periodo de 48 horas para tomar las medidas oportunas. Dentro de dicha publicación, hay otro enlace que, aparentemente, lleva al formulario de apelación mencionado, pero, en realidad, se trata de un sitio de phishing que simula ser oficial, imitando el estilo característico de la red social.
Si los usuarios caen en la trampa y acceden al falso formulario, se les solicitarán algunos datos como su nombre y dirección de correo electrónico, lo que, en un principio, podría parecer razonable. Sin embargo, el problema comienza cuando, al intentar enviar los datos, aparece una ventana emergente que pide ingresar la contraseña de Facebook. En caso de hacerlo, el usuario estará poniendo sus datos y, por ende, su cuenta en manos de los ciberdelincuentes.
El ingenio de los ciberdelincuentes
Lo más destacable para la compañía de ciberseguridad es cómo los criminales utilizan la propia plataforma para dar credibilidad a su mensaje. Según ellos, no es algo que se vea muy a menudo y hará creer a más de uno que es auténtico.
Los principales objetivos son los perfiles empresariales o comerciales para los que Facebook supone una gran fuente de ingresos, por lo que perder su cuenta significaría un varapalo tremendo. Ante ese temor y la sensación de urgencia, estos usuarios pueden morder el anzuelo más fácilmente.
Por ello, Abnormal Security ofrece una serie de pautas para identificar estos mensajes. Por ejemplo, aunque el nombre y la firma del remitente hacen alusión a Facebook, el correo del remitente no pertenece a la compañía (messaging-service@post.xero.com). Otra evidencia se presenta al intentar responder a dicha dirección, ya que está cambiaba automáticamente a otra de Gmail (qerasnumber1@gmail.com). Por último, comentan que “el cuerpo del mensaje contenía lenguaje que indicaba que el remitente estaba intentando robar información personal”, aunque no han especificado cuáles son esos indicios.
Imagen de Deeksha Pahariya en Unsplash