Sergio Arce
El Laboratorio de Investigación de ESET identificó una campaña de phishing que intenta obtener credenciales de acceso de cuentas de Facebook.
De acuerdo con la empresa, esta campaña se propaga a través del Messenger, la aplicación de mensajería de Facebook.
Los ciberdelincuentes envían un mensaje que supuestamente proviene de un contacto. El mensaje pide que se le dé “Me gusta” a una fotografía para una aparente “buena causa”.
Sin embargo, para realizar esta acción se requiere iniciar sesión en una página falsa que copia la imagen del sitio oficial de Facebook.
“Como ocurre en varias campañas, el sitio de phishing utiliza las características de un sitio seguro. Es decir, utiliza un certificado de seguridad, maneja HTTPS y cuenta con un candado de seguridad.
“Además, el sitio utiliza una imagen idéntica en apariencia a la del sitio oficial de Facebook, por lo que el usuario podría caer en el engaño, especialmente si el mensaje proviene de un contacto conocido. El objetivo de esta campaña es robar las credenciales de acceso a Facebook”, aseguró Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica.
OBSERVE MÁS: ¿Es usted de los que sube fotos de sus hijos pequeños a Facebook o Instagram? Cuidado con el “sharenting”
Preste atención al URL
Según ESET el principal indicio para identificar que se trata un engaño es el URL. Esto porque no corresponde directamente con la de Facebook, aunque se agregan algunas palabras al dominio para hacer creer que se trata de un sitio legítimo.
Si el usuario cae en el engaño e introduce sus credenciales de acceso, simplemente es dirigido al sitio oficial de Facebook aludiendo a un aparente error de autenticación, aunque sus datos ya han sido capturados por el sitio falso.
Una forma adicional para verificar la autenticidad de los sitios consiste en verificar los parámetros del certificado de seguridad. En particular, es necesario comprobar que los elementos del sitio web correspondan con el URL legítimo.
“Cabe destacar que la cuenta desde la cual proviene el mensaje ha sido comprometida previamente y es utilizada para difundir el engaño con el propósito de obtener credenciales de acceso de otras cuentas.
“Por lo tanto, aunque el enlace provenga de un contacto conocido o de confianza, es necesario revisar los parámetros de seguridad para evitar caer en un engaño. También es conveniente desconfiar de este tipo de mensajes y evitar propagarlos, de forma que menos personas se vean comprometidas”, agregó el especialista.
Evite se blanco de engaño
ESET Latinoamérica ofrece las siguientes recomendaciones para evitar caer en engaños de phishing en Facebook y otras redes:
- Hacer caso omiso a este tipo de mensajes que llegan a los chats. Incluso si provienen de contactos conocidos, o bien, verificar los elementos de seguridad para cerciorarse que no se trata de un engaño.
- Notificar al propietario de la cuenta desde la cual se envía el mensaje para que sepa que están realizando esta actividad maliciosa suplantando su identidad y desde su cuenta.
- Habilitar medidas de seguridad adicionales, como el doble factor de autenticación. Además, en caso de identificar la actividad no reconocida por el usuario es conveniente actualizar de forma inmediata las contraseñas comprometidas.
- Por último y no menos importante también es conveniente notificar a los usuarios que han sido afectados con este mensaje. Esto para evitar que se conviertan en víctimas de las campañas de phishing que buscan obtener los accesos a las cuentas de redes sociales y otros servicios de Internet.
