Vulnerabilidades y campañas de phishing en Facebook y Messenger

Los datos y contactos que almacenamos en las redes sociales pueden ser muy valiosos para los delincuentes y por eso, lo recomendable es protegerlos de forma adecuada. Muchos usuarios son conscientes de que no deben introducir sus credenciales de acceso en webs sospechosas o dispositivos compartidos (aunque siguen quedando bastantes inconscientes que no siguen las medidas básicas de seguridad). Sin embargo, ¿cómo de seguros permanecen esos datos ante ataques elaborados o fallos de seguridad en plataformas como Facebook o su servicio de mensajería Messenger?

Una elaborada campaña de phishing

Cuando hablamos de phishing o suplantación de identidad de una red social tan popular como Facebook encontramos numerosos ejemplos durante los últimos meses e incluso años. La mayoría de estos ataques suelen realizarse usando vectores de ataque clásicos como el correo electrónico o páginas fraudulentas que se hacen pasar por la original.

Pese a que a este tipo de ataques, llamémosles, “tradicionales” siguen teniendo un éxito relativo, las opciones con las que cuentan los delincuentes para engañar a sus víctimas van mucho más allá. Recientemente, Antoine Vincent Jebara el CEO y cofundador del gestor de contraseñas Myki ha informado de una campaña de phishing en Facebook que se basa en la posibilidad de introducir una pantalla de registro fraudulenta dentro de una web en un formato que puede pasar por legítimo para la mayoría de usuarios.

Veamos un ejemplo de como se ejecutaría este ataque en el vídeo que han preparado desde el blog de la empresa Myki:

Este ataque es mucho más eficaz que los enlaces enviados por email o las webs fraudulentas que se hacen pasar por Facebook y permite a un atacante introducir una ventana de registro prácticamente idéntica a la original, incluso con su certificado de seguridad para que la víctima no sospeche. La web desde la que se muestra esta ventana de acceso puede ser una web maliciosa preparada por los delincuentes o una web legítima que haya sido comprometida por lo que la efectividad se multiplica.

Si la víctima cae en la trampa e introduce sus credenciales de acceso, estas serán enviadas directamente a los delincuentes, que podrán acceder a la cuenta de la víctima sin mayores problemas, a menos que esta haya implementado medidas adicionales de seguridad como el doble factor de autenticación (2FA).

Al ser un ataque que está bien elaborado en la parte visual, la probabilidad de caer en la trampa es bastante alta salvo que realicemos comprobaciones adicionales a las habituales. En el vídeo se explica como se puede descubrir el engaño si intentamos arrastrar la ventana de registro fuera de la principal del navegador. Si no se puede significa que estamos ante un caso de phishing, ya que esta ventana pertenece a la web usada como cebo por los atacantes y no se trata de una utilizada para el registro propia de Facebook.

Esta simple revisión, junto con la implementación del 2FA en todos los servicios que dispongan de esta opción nos pueden ayudar a evitar ser víctimas de este y otros ataques, por lo que deberíamos dedicar un poco de tiempo a configurar esta medida adicional de seguridad.

Espiando en las fotos privadas

Las fotografías que se cuelgan en las redes sociales se encuentran entre los datos más valiosos de los usuarios. Por eso es habitual subir algunas de ellas de forma privada para que solo puedan verlas un grupo de contactos seleccionado o incluso únicamente sean visibles para nosotros. Sin embargo, una vulnerabilidad descubierta recientemente en la web de Facebook, diseñada para realizar videollamadas mediante los dispositivos lanzados recientemente por la compañía, puede utilizarse para acceder a fotografías almacenadas como privadas.

Esta vulnerabilidad aprovecha un fallo en el chat de soporte de este servicio que también está presente en servicio de mensajería de Facebook, más conocido como Messenger. Al enviar una imagen a este servicio de chat se le asigna un identificador numérico que también se establece en las imágenes que subimos a nuestro perfil.

Una vez enviada la foto, se produce una petición POST que incluye un código identificativo de la imagen. En el caso de que un atacante lograse interceptar ese mensaje y sustituyese ese identificador por otro, podría ser capaz de visualizar otra imagen de la víctima, incluyendo aquellas que estuviesen catalogadas como privadas.

Facebook ya ha corregido esta vulnerabilidad aunque se desconoce si fue aprovechada por algún atacante. Si bien es algo tedioso interceptar todas las peticiones de imágenes de forma manual, se podría automatizar el proceso para obtener un elevado número de fotografías publicas y privadas de usuarios de Facebook.

Conclusión

Tras un año en el que la privacidad y la seguridad de Facebook han estado en el ojo del huracán, el descubrimiento de nuevos fallos y vulnerabilidades en esta plataforma no hace más que avivar la polémica acerca de la conveniencia de tener datos de nuestra vida privada en esta y otras webs. En el caso que queramos seguir utilizando las redes sociales, debemos tener en cuenta que ataques como los que acabamos de describir son bastante frecuentes y, por eso, debemos tomar las medidas de seguridad necesarias para proteger nuestra información.

Josep Albors

Siegeware: cuando los delincuentes toman el control de un edificio inteligente