Tengo la impresión de que últimamente la cantidad de ataques phishing a través de las redes sociales no ha sido tan significativa como antes. Pero en cuanto ingresé hoy a Twitter, noté que había recibido dos mensajes directos, ambos muy similares.
El primer mensaje me llegó hace dos días, y cuando intenté verificar si se trataba de un enlace para la propagación de programas maliciosos, o de un sitio phishing, la URL ya estaba inactiva. Cuando recibí el otro mensaje, quise mirarlo rápidamente, y hasta este momento, el sitio phishing sigue activo.
Los dos mensajes que recibí tienen más o menos la misma estructura, con la sola diferencia de un diferente abreviador de URLs y que se ha cambiado una palabra. Los dos abreviadores de URL son bit.ly y y.ahoo.it
“oye, alguien está haciendo correr feos rumores sobre tu URL”
“oye, alguien está haciendo correr horribles rumores sobre tu URL”
¿Qué pasa al pulsar la URL que aparece en el mensaje? Se desvía al usuario al sitio http://twi[CUT]er.com/ donde el atacante ha creado una falsa página de ingreso a Twitter, y si el usuario introduce sus datos personales, estos acabarán en las manos equivocadas. Los datos personales robados muy probablemente se usarán para atrapar más víctimas, quizás también en otras redes sociales.
Una vez que las víctimas ingresan sus credenciales, se las redirige a un sitio que les muestra una página 404 falsa. Después de 2 segundos, se las remite a la página real de ingreso a Twitter.
En el primer mensaje que recibí, la URL abreviada desviaba hacia un dominio muy similar al que se explota en la nueva campaña a la que me estoy refiriendo. El dominio en el anterior mensaje era http://tviwtter.com/. Esta es una señal de que los responsables de las dos campañas son las mismas personas.
Los colegas investigadores de Kaspersky Lab también han detectado señales de una ola de ataques phishing contra Facebook. Por ahora es imposible afirmar si estas dos campañas están vinculadas o no. A continuación mostramos algunas capturas de pantalla de la campaña en Facebook:
En este momento estamos trabajando en la recopilación de más URLs de esta campaña; si sabes de alguna URL, no dudes en ponerte en contacto con nosotros. Puedes encontrarme en Twitter en @JacobyDavid
Y recuerda tener mucho cuidado al introducir tus datos personales en cualquier sitio.
Campaña phishing en Twitter a través de mensajes directos