Nuevo ataque logra robar credenciales de Facebook

Se ha detectado un nuevo ataque de phishing destinado a robar las credenciales de Facebook, y está llamando la atención de los investigadores debido a lo bien que oculta su intención maliciosa. 

Los esquemas de suplantación de identidad (phishing) siguen siendo una de las amenazas más graves para los usuarios y para las empresas, y los cibercriminales siguen intentando formas nuevas y creativas de engaños para obtener datos de sus víctimas, que luego podrían usar para robarles su dinero o sus cuentas en línea.

De acuerdo con el reciente informe “Estado del Phishing” de Proofpoint, el 83 por ciento de los encuestados sufrió ataques de phishing en 2018, un 5 por ciento más que en 2017. En el último año, el phishing ha dado lugar a varios ataques masivos, ya sea el secuestro de cuentas de usuarios de Spotify o grandes fugas de datos.

Los ataques de phishing han continuado expandiéndose durante el último año, y los actores maliciosos parecen estar continuamente actualizando sus métodos para volverse más complejos y difíciles de detectar, desde usar Google Translate hasta fuentes personalizadas.

Y tú… ¿Cómo verificas si un sitio web que solicita sus credenciales es falso o legítimo para iniciar sesión? ¿Comprobando si la URL es correcta? ¿Comprobando si la dirección del sitio web no es un homógrafo? ¿Comprobando si el sitio está utilizando HTTPS? ¿O usando software o extensiones de navegador que detectan dominios de phishing?

Si confías en las prácticas de seguridad básicas para detectar si el enlace a “Facebook.com” o “Google.com” que tienes es falso o no, puedes ser víctima de un nuevo ataque de phishing muy creativo recién descubierto y terminar regalando tus contraseñas a los cibercriminales.

Antoine Vincent Jebara, cofundador y director ejecutivo del software de gestión de contraseñas Myki, informó que su equipo descubrió recientemente una nueva campaña de ataques de phishing con el cual “incluso los usuarios más vigilantes pueden caer”.

Jebara investigó la estafa después de que los usuarios del administrador de contraseñas de Myki comenzaron a quejarse de que el administrador no estaba completando automáticamente las contraseñas en sitios web específicos para dominios populares. “Nuestra investigación nos llevó a sospechar que estos usuarios podrían haber visitado un tipo similar de sitios de phishing”, dijo.

Vincent descubrió que los ciberdelincuentes están distribuyendo enlaces a blogs y servicios que incitan a los visitantes a “iniciar sesión con su cuenta de Facebook” para leer un artículo exclusivo o comprar un producto con descuento

El ataque reproduce un aviso de inicio de sesión social en un “formato muy realista” dentro de un bloque HTML. Ese bloque está incrustado en un sitio web malicioso que las víctimas primero deben ser convencidos de visitar. “Nos gustaría crear conciencia sobre el tema lo más rápido posible, debido a lo realista y engañosamente convincente que es la campaña”, dijo Jebara.

Un actor malicioso pudo diseñar un mensaje emergente de inicio de sesión social en HTML de aspecto muy realista, creado en realidad con HTML y JavaScript, que se reproduce perfectamente para verse y sentirse exactamente como una ventana de navegador legítima: una barra de estado, una barra de navegación, sombras y la dirección URL del sitio web de Facebook con un candado verde que indica un HTTPS válido.

Cuando una víctima visita un sitio web malicioso (que un atacante podría convencerlo de que visite, usando tácticas de ingeniería social), se le pedirá que inicie sesión en su cuenta de Facebook a través de un aviso de inicio de sesión falso.

Los investigadores observaron que la ventana emergente parece realista hasta el punto en que los usuarios pueden interactuar con ella, arrastrarla y descartarla de la misma manera que lo harían con un aviso legítimo, pero una vez que completan su nombre de usuario y contraseña, esa información se envía al atacante.

“La única forma de protegerse de este tipo de ataque es en intentar arrastrar el indicador fuera de la ventana en la que se muestra actualmente”, dijo. “Si se produce un error al arrastrarlo (parte de la ventana emergente desaparece más allá del borde de la ventana), es una señal definitiva de que la ventana emergente es falsa”.

En general, como medida de precaución, los usuarios siempre deben arrastrar las ventanas emergentes de su posición inicial para detectar un comportamiento anormal, dijo Antoine.

“La mayoría de los administradores de contraseñas no son sensibles a este tipo de ataque de phishing, ya que miran la URL de la ventana para determinar qué contraseña se debe completar automáticamente, que en este caso no es facebook.com”, según los investigadores.

Desde Nivel4 te recomendamos habilitar la autenticación de dos factores (2FA) en todos los servicios que te sea posible, pues de esa manera puedes evitar que los cibercriminales ingresen a tus cuentas, aun si han obtenido tus credenciales.