Cibercriminales novatos de Facebook prueban un poco de su propia medicina

Delincuentes virtuales experimentados han tendido una trampa para robar la información personal de aquellos usuarios curiosos de Facebook que están tratando de dar sus primeros pasos en el cibercrimen.

Los delincuentes están difundiendo un video en Facebook en el que ofrecen una herramienta para irrumpir en cuentas ajenas de la red social sin autorización. La herramienta dice que tiene funciones “educativas” y dirige a un documento de Google Drive.

En el documento hay un tutorial que describe una serie de pasos que los hackers novatos deben seguir para irrumpir en las cuentas de Facebook de sus amigos. Las instrucciones piden a los usuarios que copien y peguen un código JavaScript en el navegador y esperen dos horas hasta que el truco surta efecto.

Pero lo que los usuarios no saben es que al seguir estas instrucciones en realidad están lanzando un ataque XSS hacia sí mismos y dando a los cibercriminales la capacidad de utilizar sus cuentas para seguir páginas y grupos de la red social desde sus cuentas, dándoles una falsa impresión de popularidad. Los ciberiminales también etiquetan a todos los contactos de sus víctimas en la sección de comentarios del video con la esperanza de despertar su curiosidad y difundir el ataque.

La amenaza se reactivó la semana pasada, aunque existe desde 2011. A pesar de su antigüedad, el truco sigue dando resultados: una oleada de este ataque a principios de año infló algunos sitios de FB hasta que alcanzaron los 50.000 o 100.000 seguidores.

Se cree que los atacantes se encuentran en India pero la amenaza se originó en Turquía, a juzgar por algunas partes del código escritas en turco.

Fuentes:

Bogus tool for hacking your Friends’ Facebook account hacks you instead PC World

Script fools n00b hackers into hacking themselvesa The Register

Facebook users hacked while trying to hack friends’ accounts Times of India