Análisis de un nuevo caso de phishing en Twitter

El otro día, justo cuando salía de la oficina, recibí una notificación en el móvil. Un amigo me había mencionado en Twitter, nada raro al parecer.

No le di más importancia y me fui para casa. Desde la oficina hasta mi casa no hay ni cinco minutos andando y aún con las llaves en la mano mi móvil empezó a vibrar como si se fuera a acabar el mundo.

Era mi amigo, el de Twitter.

Preocupadísimo me contaba que le había entrado un virus en el Twitter…

– ¿Pero qué dices? ¿Te aburres, no?
– ¿Te paso mi cuenta y miras a ver si lo “arreglas”?
– Claro, hombre, y gratis, faltaría más…

Es lo que tiene ser informático y dedicarse a la seguridad, que eres el antivirus de tus amigos, o eso es lo que ellos se piensan.
Obviamente no le hice ni caso y le pedí que cambiara su contraseña, para empezar.

Unas horas más tarde me puse a investigar un poco el tema y aquí dejo todo lo que había pasado. Atentos a las conclusiones…

Un primer vistazo

Lo primero es ver las publicaciones con menciones del perfil de mi amigo… Algo así.

1

Me llamó la atención que desde el momento en que cambió la contraseña dejó de publicar cosas raras. Virus en Twitter decía…

Si analizamos el contenido de las publicaciones vemos que están en inglés, cosa rara para venir de quien viene. ¡Y además traen un bonito enlace! Clic, clic, clic.

Un enlace sospechoso

El paso siguiente obviamente es entrar en el enlace a ver qué pasa… (no lo intenten en sus casas).

¡Oh! Qué ven mis ojos, mi sesión de Twitter ha caducado. Llegados a este punto ya podemos intuir qué ha pasado, pero bueno… Seguimos.

2

Solamente viendo el enlace ya es obvio que no se trata de una página de Twitter legítima.

Una IP. ¿De quién? ¿Desde dónde?

4

3

No sabía que Twitter tenía los servidores en Hong Kong…

Revisando el código

El paso siguiente fue echarle un ojo al código fuente. Nada de provecho, un formulario que envía unos parámetros al servidor. El email y la contraseña.

Pues bueno, nos ponemos a analizar el tráfico, rellenamos los campos y vemos qué pasa. Solo por curiosidad.

5

En esta captura podemos ver que la web fraudulenta de Twitter está enviando los datos que le proporcionamos y encima lo está haciendo en texto claro.

Tras una serie de pruebas más, a altas horas de la madrugada decidí dejarlo, escribir este artículo e irme a dormir.

Conclusiones:

El phishing es un tipo de malware que pretende engañar al usuario como tantos otros. En este caso, se podría haber evitado teniendo con un poco de cuidado a la hora de navegar.

No había infección alguna, sino un robo de credenciales propiciado por el propio usuario.

El malware robaba las credenciales y, a continuación, publicaba de forma masiva enlaces maliciosos en el perfil de los afectados, citando a todos sus contactos para intentar conseguir más víctimas.

La solución es tan simple como cambiar la contraseña. Para evitar este tipo de incidentes lo único que hay que hacer es asegurarse de darle nuestro usuario y contraseña únicamente a la web legítima de Twitter.

En algunos casos es prácticamente imposible detectar a simple vista la legitimidad de un sitio pero, en otros muchos, este incluido, es verdaderamente simple. Solo fijándonos en el enlace lo hubiésemos detectado.

La gran moraleja de este post es la siguiente:

“Si no tenemos usuarios verdaderamente concienciados con la seguridad, ninguna de las medidas de seguridad que utilicemos (antivirus, firewalls, perros guardianes, antidisturbios…) será suficiente”.

Ramón Llácer

Utilizan vídeos falsos del vuelo MH370 desaparecido para engañar a usuarios en redes sociales