Publicaciones

Impostores en las redes sociales

¿Cuáles son los recursos que con más frecuencia atraen la atención de los estafadores? Son aquellos donde de un solo “golpe” se puede abarcar la cantidad máxima de usuarios y, por lo tanto, el mayor lucro. Hoy en día prácticamente todos los usuarios de Internet tienen una cuenta en alguna red social (y con frecuencia, en varias al mismo tiempo), lo que hace que estos sitios sean tan populares entre los estafadores. La red más atractiva para los estafadores es Facebook: según nuestros datos, en 2013 el 22% de las detecciones del componente heurístico “Antiphishing” tuvo lugar en páginas falsificadas que tienen la apariencia de Facebook.

Cuenta útil

A primera vista, el robo de cuentas en las redes sociales no debe interesar demasiado a los delincuentes, ya que no les dan un lucro evidente. La gente no guarda sus ahorros en Facebook y la información personal almacenada en la red social representa interés sólo para nuestros parientes y amigos. Sin embargo, esta impresión es falsa. En la práctica, los estafadores pueden necesitar el acceso a las cuentas de los usuarios de Facebook (y cualquier otra red social) para:

  • la subsecuente propagación de enlaces phishing. El uso de cuentas reales para el phishing es más efectivo que la creación de cuentas-bots especiales para este objetivo. Y es que la probabilidad de que el usuario pulse, por ejemplo, un enlace en una página falsificada de un banco es mucho mayor si ésta no le llega de una persona desconocida, sino de un amigo por la red social.
  • la propagación de programas nocivos. Al igual que con los enlaces phishing, los usuarios de las redes sociales descargan y abren ficheros con más gusto si los remitentes son amigos de Facebook.
  • enviar spam a la lista de contactos de la víctima, publicar spam en los “muros” de los amigos, donde lo puedan ver otros usuarios.
  • extorsionar y sacarles dinero a las personas de la lista de contactos de la cuenta robada (difusión de mensajes que piden enviar dinero con diferentes pretextos, por ejemplo, cartas pidiendo ayuda).
  • recopilar información sobre algunas personas en concreto. Después, esta información puede usarse para lanzar ataques selectivos, entre ellos los de phishing selectivo.
  • vender las cuentas robadas. Los estafadores venden las cuentas robadas a otros delincuentes informáticos, que a su vez las usan para propagar spam, enviar enlaces phishing o programas maliciosos.

Los phishers usan sobre todo la última variante, lucrando con la venta de datos robados.

Estadísticas

Según los datos de Kaspersky Security Network, en 2013 entre los usuarios de los productos de Kaspersky Lab el 35% del total de detecciones del componente heurístico del sistema “Antiphishing” correspondió a páginas phishing que simulaban ser páginas de redes sociales. En total, hemos registrado que nuestros usuarios han hecho más de 600 millones de intentos de entrar a páginas phishing. . Y las detecciones en las páginas que copiaban el diseño de Facebook constituyeron el 22%.

El componente heurístico del sistema “Antiphishing” se activa cuando el usuario sigue un enlace en una página phishing y la información sobre esta página todavía no está registrada en las bases de datos de Kaspersky Lab. Y no tiene importancia de qué manera se siga el enlace: como resultado de pulsarlo en un mensaje phishing, en los mensajes de la red social o si es provocado por las acciones de un programa malicioso. El efecto de la detección es que el usuario visualiza en su navegador un banner que le advierte sobre la posible amenaza.


Distribución de las detecciones del componente “Antiphishing” en 2013

A principios del primer trimestre de 2014 la situación cambió un poco y Yahoo pasó a ocupar el primer lugar por la cantidad de detecciones. Pero Facebook sigue estando entre los blancos preferidos por los phishers: en el primer trimestre de 2014 el 10,85% de todas las detecciones del componente heurístico del sistema “Antiphishing” ocurrió en las páginas falsas de esta red social.

Cada día nuestra compañía registra más de 20.000 intentos de los usuarios de visitar páginas phishing que pretenden ser Facebook.



Cantidad diaria de detecciones del componente heurístico del sistema “Antiphishing” en páginas falsas disfrazadas de Facebook, 2013

La mayor parte de las detecciones por día ocurrieron en EE.UU. (1500-7500) y Alemania (2000-4500). En Rusia este índice todavía no es tan grande y no supera las mil detecciones por día.

En 2013 el 22% de los usuarios de India trataron de entrar a páginas phishing de Facebook, en Francia el 14,56%, en EE.UU. el 10,93% y en Rusia el 1,5%.



Porcentaje de usuarios que trataron de entrar a páginas phishing que fingían ser Facebook en 2013 (por 100% se ha tomado el total de usuarios de los productos de Kaspersky Lab en el país).

Señuelos

¿De qué manera llegan los usuarios a las páginas falsificadas? Los delincuentes han inventado muchas maneras de atraer a la víctima a una página de contenido phishing. Por lo general, los delincuentes propagan enlaces a páginas web phishing de las formas siguientes:

  • En mensajes que simulan ser notificaciones de la red social. Estos mensajes se envían por correo electrónico desde cuentas creadas especialmente para este propósito.
  • En mensajes enviados por correo electrónico desde cuentas de correos robadas a los integrantes de la lista de contactos, por ejemplo, mensajes a amigos proponiendo seguir un enlace para ver un contenido interesante.
  • En mensajes de las redes sociales enviadas desde cuentas falsas creadas con este objetivo o desde cuentas robadas a los usuarios.
  • En mensajes en los foros.
  • En los resultados de los sistemas de búsqueda.
  • En banners con atractivas imágenes o en banners falsos idénticos a las notificaciones de la red social que los delincuentes ponen en sitios aparte.

También se puede llegar a páginas phishing si el ordenador o el router están infectados por programas capaces de modificar o suplantar el fichero hosts y reemplazar direcciones DNS o sustituir contenido. Estos programas son particularmente peligrosos porque remiten al usuario a páginas phishing cuando este sigue enlaces legítimos de las organizaciones atacadas por los phishers.

Esta es la razón por la que es imprescindible prestar atención a la presencia o ausencia de conexiones seguras en las páginas abiertas. Facebook usa el protocolo HTTPS para enviar datos. La ausencia de una conexión segura, incluso si la dirección de la página es correcta, es un indicio de que lo más probable es que el usuario esté en una página creada por estafadores.

Sin embargo, incluso una dirección correcta y la presencia de una conexión segura no siempre dan garantía de que no haya ingresado en un esquema fraudulento. Así que si tiene dudas, debe verificar los datos del certificado para ver si de verdad pertenece a Facebook. Y sin falta preste atención a las notificaciones del software de seguridad de su equipo.

Mensajes de correo electrónico

Los mensajes enviados por correo electrónico son un método popular entre los delincuentes para propagar enlaces a páginas phishing. Por lo general, los mensajes enviados por los estafadores carecen de personalización, es decir, que no están dirigidos a una persona en particular y, como regla, fingen ser notificaciones de Facebook sobre mensajes personales recibidos o sobre nuevos amigos en esta red social. Al hacer clic en el enlace, el usuario resulta en una página web phishing que le pide que se autorice. Después de ingresar los datos requeridos, que de inmediato se envían a los delincuentes, se remite a los usuarios a la verdadera página de entrada a Facebook.

A menudo los delincuentes usan el método de intimidación y en mensajes falsificados amenazan al usuario con bloquearle su cuenta y para evitarlo le dicen que siga un enlace en el mensaje e introduzcan sus datos en la página que aparece. En este caso el cálculo reside en la explosión emocional y la consecuente pérdida de prudencia de la víctima potencial.

Abajo tenemos un ejemplo de una notificación de Facebook falsificada, donde se afirma que el usuario tienen nuevos mensajes en esta red social. Si se pone el cursor sobre el enlace, en la ventana emergente vemos que lleva a una dirección desconocida, diferente de la dirección oficial de Facebook. Es curioso que en este mensaje los estafadores se dirijan al usuario utilizando una parte de la dirección de correo electrónico a la que se envió el mensaje.

He aquí otro ejemplo de mensaje falsificado, esta vez en portugués. Es una advertencia al usuario de que para evitar que le bloqueen su cuenta debe seguir un enlace que supuestamente lo llevará a la página web de Facebook donde tendrá que ingresar sus datos. Si se pone el cursor sobre el enlace, en la ventana emergente vemos que lleva a una dirección desconocida, diferente de la dirección oficial de Facebook.

Redes sociales

Con frecuencia los mensajes phishing se propagan dentro de la misma red social desde cuentas robadas a los amigos de la víctima potencial. Por lo general, contienen preguntas como ¿eres tú el de la foto? y un enlace a la “fotografía”. Cuando el usuario sigue el enlace enviado, se lo remite a una página falsificada de ingreso a Facebook que contiene el mensaje estándar: “Debes iniciar sesión para continuar”. Si el usuario no sospecha nada y decide iniciar sesión, su login y contraseña caerán en manos de los delincuentes informáticos.

Por todo el mundo

La popularidad de la red social Facebook en todo el mundo motiva a los delincuentes a crear páginas web falsificadas en diferentes idiomas: inglés, francés, alemán, portugués, italiano, turco, árabe y otros.

Más abajo citamos algunos ejemplos de falsificaciones. Preste atención a la dirección: con frecuencia los estafadores usan palabras parecidas a “Facebook” en la dirección de la página phishing para tratar de engatusar a los usuarios inexpertos o poco espabilados de Internet. Y a veces la dirección no tiene nada que ver con la de Facebook, a pesar de que el diseño de la página es idéntico al de la red social. También preste atención a la ausencia de conexión segura en estas páginas: esto es un síntoma de que el recurso es phishing.



Ejemplos de páginas phishing que tienen la apariencia de la página de inicio de sesión en Facebook



Ejemplos de páginas phishing que tienen la misma apariencia que la página de entrada a Facebook con el formulario para ingresar datos personales y darse de alta

Como vemos, el diseño de las páginas phishing es idéntico al de las páginas de registro o inicio de sesión de Facebook. El objetivo de los delincuentes es evidente: obtener los datos personales del usuario para adquirir acceso a su cuenta y hacer diferentes manipulaciones con la misma.

Phishing móvil

Los dueños de smartphones y tabletas que ingresan a las redes sociales desde sus dispositivos tampoco están asegurados contra la pérdida de datos personales. Los estafadores crean páginas web especiales para navegadores móviles que lucen igual que las de entrada a la cuenta mediante la app de Facebook.



Ejemplos de páginas web phishing Facebook para navegadores móviles

A los estafadores con frecuencia les favorece el hecho de que algunos navegadores móviles ocultan la dirección al abrir la página. Gracias a esto, es mucho más difícil para el usuario descubrir la falsificación.



Página web phishing con el campo de dirección oculto

En los dispositivos móviles también pueden funcionar programas maliciosos que roban los datos personales del dueño del teléfono infectado, entre ellos los datos de las cuentas en redes sociales. Aparte de los programas espía universales, también existe malware móvil que apunta exclusivamente a las redes sociales. Por ejemplo, un troyano móvil puede, cuando el usuario abre la ventana de la app oficial de Facebook, suplantarla por una phishing. También existe el riesgo de descargar una app phishing que finge ser la aplicación móvil de Facebook.

Conclusión

El principal arma de los delincuentes que salen a cazar cuentas de usuarios en las redes sociales es la falta de atención de los usuarios. Por nuestra parte, le sugerimos algunos consejos.

  • Si recibe por correo notificaciones de Facebook, mensajes sobre bloqueo de su cuenta y cualquier tipo de mensajes donde se le proponga seguir un enlace o ingresar sus datos en un formulario:
    • šno ingrese su datos en formularios incorporados al mensaje. Facebook nunca les pide a sus usuarios que envíen sus contraseñas por correo electrónico.
    • šcompare la dirección desde donde llegó el mensaje con la dirección desde donde le llegaron mensajes anteriores de la red social. Si la dirección no corresponde a la esperada, lo más probable es que se trate de phishing. Pero incluso si la dirección le parece legítima, recuerde que los estafadores pueden camuflar la dirección real del remitente.
    • šponga el cursor sobre el enlace (sin pulsarlo) y compruebe que realmente lleva a Facebook. Aún más, es mejor escribir por su propia cuenta la dirección del sitio en el navegador, ya que los delincuentes también pueden camuflar las direcciones a las que en realidad llevan los enlaces.
  • Si de una u otra manera llegó a una página (pulsó un banner, siguió un enlace del mensaje, etc.), compruebe si la dirección en el campo de direcciones corresponde a la esperada.
  • Si escribe la dirección del sitio por sí mismo en el navegador, después de cargada la página compruebe que no se haya suplantado la dirección.
  • Después de que se haya cargado la página, sin falta compruebe la presencia de una conexión segura HTTPS (se puede identificar por el pictograma en forma de candado en el campo de direcciones del navegador). La ausencia de una conexión segura incluso si la dirección de la página es correcta es un indicio de que lo más probable es que el usuario esté en una página creada por estafadores.
  • Si ha empezado a recibir mensajes sospechosos de sus amigos, trate de comunicarse con ellos por otro medio: lo más probable es que su cuenta de correo o en la red social haya caído en manos de los estafadores y sus amigos tendrán que cambiar su contraseña lo antes posible.

Impostores en las redes sociales

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada