Las Redes Sociales como nuevo nicho para el phishing

En más de una ocasión hemos hablado del phishing como una de las técnicas más utilizadas por los atacantes para hacerse con nuestras credenciales y/o infectarnos con diversos tipos de malwares. Lo cierto es que el correo electrónico continúa siendo el vector más utilizado para llevar esto a cabo, pero sin duda alguna el auge […]

En más de una ocasión hemos hablado del phishing como una de las técnicas más utilizadas por los atacantes para hacerse con nuestras credenciales y/o infectarnos con diversos tipos de malwares. Lo cierto es que el correo electrónico continúa siendo el vector más utilizado para llevar esto a cabo, pero sin duda alguna el auge y masificación de las RRSS ha formado un nuevo nicho para realizar este ataque.

Por Gabriela Sepúlveda B.

El siempre nombrado Phishing es uno de los ataques más utilizados por los ciberdelincuentes, y es que su facilidad para ser llevado a cabo, efectividad en la obtención de su objetivo y alcance en número de víctimas, lo posicionan como la opción ideal para el robo de información de tipo confidencial.

Anatomía de un ataque phishing

Como todos los ataques que realizan los ciberdelincuentes, este tiene una estructura base que se suele seguir para ser llevada a cabo. Es ello lo que conocemos como su “anatomía”. Para el caso de los ataques de tipo phishing, ésta se elabora de la siguiente forma:

1. El atacante busca hacerse pasar por un ente de confianza (un Banco, una entidad de Gobierno, etc), y es lo que se conoce como “suplantación de identidad”.
2. El ciberdelincuente busca elaborar un mensaje que genere confianza en la víctima, y así esta caiga en la trampa. Generalmente apunta a que se haga click en links maliciosos, o se ingresen datos y/o credenciales en sitios web falsos.
3. El atacante elige un medio de propagación para enviar el ataque, por ejemplo, el más utilizado es el correo electrónico.
4. Un porcentaje de usuarios confiará en el link y caerá en la trampa.
5. Finalmente el ciberdelincuente obtendrá los datos de las víctimas, y los utilizará con fines maliciosos.

Pero lo que siempre tenemos que tener en consideración es que los ataques van evolucionando y cada vez se vuelven más sofisticados. Y es justamente esta evolución lo que ha llevado a que los ciberdelincuentes aprovechan el auge de las RRSS para explotar nuevas técnicas de phishing.

Redes Sociales y el Phishing

A pesar de las fluctuaciones de usuarios que han sufridos las RRSS estos últimos años, no se puede negar que aún están en alza y tienen un alcance que muchas veces nos puede parecer inimaginable. Solo por nombrar algunas cifras, podemos encontrar que:

• En enero de 2019 Facebook contó con cerca de 2.271 millones de usuarios activos en un mes.
• Durante este 2019, se ha determinado que Instagram tiene más de 1.000 millones de usuarios activos en un mes.
• Durante este 2019. se ha determinado que LinkedIn cuenta con 303 millones de usuarios activos en un mes y más de 500 millones de usuarios registrados.

Como podemos notar, las cifras no apuntan solo a miles de usuarios, sino que más bien a miles de millones. Esto implica un mayor número de potenciales víctimas y, por ende, el aumento de probabilidad de que alguno caiga en las trampas de un atacante. Piensa en dos pescadores, cada uno en un lago del mismo tamaño que el otro, pero mientras que en uno hay 10 peces, en el otro hay 100.000 peces. ¿Quién pescará más rápido? Algo así funciona el phishing, el atacante esperará paciente a que alguna de las víctimas “pique el anzuelo”.

Phishing por Facebook

Las mayores cifras de los phishing por redes sociales se las lleva Facebook. De hecho, durante el 2018, cerca del 60% de estos ataques utilizaron como medio de propagación o suplantaron esta plataforma social. Básicamente podemos encontrar dos situaciones:

1. Los atacantes se hacen pasar por Facebook y envían a sus usuarios correos electrónicos alertando que han habido cambios en la política de privacidad, por ejemplo, y deben ingresar para aprobarlos.. El truco está en que se redirecciona a la víctima a sitios web falsos que simulan ser esta red social y así robar estas credenciales.
2. Otra forma de ataque es la creación de falsos “Fan Pages”, en donde los usuarios están invitados a darle “Me gusta” para poder adquirir algún beneficio, participar en algún concurso, etc. Aquí el guiño es similar al anterior, ya que la Fan Page está alojada en un sitio falso, por lo que las víctimas iniciarán sesión en este sitio y caerán en la trampa.

La forma es distinta, pero el objetivo es el mismo: lograr que la víctima ponga sus credenciales en un sitio falso.

Phishing por Instagram

Instagram es por lejos una de las RRSS que más ha crecido este último tiempo. Ha logrado mantenerse vigente a pesar de la competencia y captar cada vez más usuarios. Uno de los nichos que ha surgido en esta red social es aquello relacionado al marketing y publicidad de distintas marcas. Hoy por hoy tanto grandes como pequeñas marcas promocionan sus productos a través de esta red social. Además de ello, las llamadas cuentas “influencer” poseen un gran número de seguidores.

El modo de ataque en este caso apunta a lograr que la víctima entre a enlaces maliciosos ¿De qué manera lo logran? Los atacantes crean perfiles falsos que apuntan a distintos grupos de usuarios. Por ejemplo, podría crear un perfil que apunte a productos de belleza y promocione distintos productos en sus historias. Al entrar a una historia en Instangram, basta con deslizar hacia arriba para ingresar al link indexado a la publicación. El problema es que no podemos ver la dirección del enlace, y entramos al link “a ciegas”.

Es justamente esta característica la que aprovechan los ciberdelincuentes para hacernos ingresar a enlaces maliciosos que descarguen, por ejemplo, malwares en nuestros smartphones, o nos hagan ingresar a otros sitios que soliciten el llenado de un formulario para poder acceder a algún beneficio llamativo.

Phishing por Linkedin

Más allá de la misma técnica utilizada en varias RRSS en donde los atacantes se hacen pasar por la entidad para que ingresemos nuestras credenciales en sus sitios web falsos, existe otra que se ha ido registrando en este último tiempo.

En ella, los ciberdelincuentes se hacen pasar por reclutadores para así obtener una serie de datos personales nuestros que pueden ser posteriormente utilizados para suplantar nuestra identidad; o simplemente logran persuadirnos para entrar a algún enlace malicioso o descargar un archivo infectado.

Phishing por Whatsapp

Si bien esta no es una red social como tal, si es una poderosa herramienta de comunicación que es muy utilizada hoy en día. Whatsapp tiene más de 1.500 millones de usuarios activos en un mes, lo que implica un gran alcance.

En este caso se crean falsas ofertas o publicidades, por ejemplo, hace un tiempo fue muy famosa que ofrecía “Un año gratis de Spotify Premium”. Con estas tentadoras ofertas logran que las víctimas ingresen a los enlaces, en ellos tenemos dos situaciones:

1. Por una parte se le solicita a la víctima que comparta el mensaje vía Whatsapp para estar habilitado en la oferta (Y así asegurar que esta se siga transmitiendo).
2. Y por otra parte, las víctimas reciben falsos mensajes de que fueron infectados, y se les sugiere descargar aplicaciones para limpiar el smartphone. Estas aplicaciones de dudosa reputación son las que finalmente suponen un peligro ya que pueden contener distintos tipos de malware.

Recomendaciones

La recomendación es clara, y siempre apunta a estar atento a cualquier tipo de mensaje que pueda llegarnos. Ya sea uno que nos invite a entrar a validar nuestra información a distintas RRSS, o alguno que nos parezca llamativo por poseer ofertas y promociones demasiado irreales; siempre debemos poner ojo a los enlaces en los que entramos y por sobre todo, nunca entregar información personal y/o credenciales de acceso.