“Eres tu que apareces en este video?” Regresa el intento de phishing para robar cuentas de Facebook

El robo de credenciales es algo que se ha venido incrementando desde hace meses y a lo que no escapan empresas de todos los tamaños ni usuarios domésticos. Los delincuentes están utilizando todo tipo de estrategias, incluso aquellas que les han funcionado en el pasado y que no tiene reparos en volver a utilizar.

Mensaje por Facebook Messenger

En esta campaña detectada en las últimas horas observamos que se está volviendo a utilizar Facebook Messenger para propagar enlaces maliciosos. El mensaje utilizado es un viejo conocido que lleva años usándose en campañas de todo tipo para, por ejemplo, propagar adware y extensiones maliciosas de Chrome, el malware Submelius (especializado en el robo de información), difundir falsas encuestas o propagar troyanos bancarios como Grandoreiro.

Todas estas campañas anteriores tienen en común la mención de un supuesto vídeo en el mensaje que recibe el usuario, y en algunas de ellas se utiliza una frase casi idéntica para tratar de llamar aun más la atención. Se trata de avisar al usuario que recibe el mensaje de que aparece en un supuesto vídeo, mostrando algún tipo de emoticono de sorpresa para que este se sienta más inclinado a pulsar sobre el enlace proporcionado.

Estos enlaces pueden estar acortados, como en esta ocasión, dificultando así la identificación de la URL a donde se nos quiere redirigir. Tal y como hemos visto en los ejemplos analizados con anterioridad, estos enlaces pueden redirigirnos a donde los delincuentes quieran, aunque en esta ocasión su finalidad es la de robar credenciales de Facebook y por eso han preparado una web a tal efecto.

Hay que decir que los responsables de este phishing no se han esmerado demasiado, puesto que han usado una plantilla antigua que poco o nada se parece a la página de registro de Facebook actual. Por si fuera poco, la web fraudulenta la han desarrollado usando Netlify y la traducción al español se realiza de forma automática mediante Google Translate.

Todo esto hace que la URL resultante no tenga nada que ver con la de Facebook y los usuarios avispados se darán cuenta de todos estos indicios para evitar introducir sus credenciales. No obstante, la presencia de un candado indicando que la web cuenta con un certificado válido puede ser suficiente como para que algún incauto pique, sin tener en cuenta que este certificado lo único que indica es que la comunicación con esa web fraudulenta se realiza por un canal seguro.

En cualquier caso, si el usuario proporciona sus credenciales en esa web fraudulenta y no tiene activado ningún otro método de verificación, los delincuentes podrán acceder a su cuenta y podrán, por ejemplo, seguir enviando estos mensajes a sus contactos para seguir tratando de robar cuentas. Estas cuentas pueden utilizarse luego para hacer publicaciones con enlaces que descarguen malware o dirijan a webs fraudulentas con todo tipo de contenido, por lo que estos robos de credenciales son algo a tener muy en cuenta.

Conclusión

A pesar de que Facebook es una red social que ha perdido mucho atractivo entre la gente joven, sigue siendo usada por cientos de millones de personas y los delincuentes la siguen usando para propagar sus estafas y amenazas. Por ese motivo es importante disponer de unas credenciales robustas, contar con un doble factor de autenticación y evitar pulsar sobre enlaces no solicitados, aunque estos provengan desde contactos de confianza.

Josep Albors

Repasamos las principales ciberamenazas a las que se enfrentan los usuarios