Android: Alertan de nuevo engaño para robar a usuarios de Facebook
Al tratarse de una de las redes sociales más populares entre los usuarios, Facebook es a donde más acuden los ciberdelincuentes para realizar sus actividades maliciosas. Por eso desde el Laboratorio de Investigación de ESET Latinoamérica, detectaron una campaña asociada con una gran cantidad de estafas o falsas publicaciones, que aprovechan distintas temáticas para captar la mayor cantidad posible de usuarios. La una campaña más reciente con la que los atacantes roban credenciales de Facebook para luego continuar propagando sus falsas publicaciones.
Hace unos días se reportaron publicaciones en Facebook en las cuales estaban etiquetados una gran cantidad de usuarios, a los que se invitaba a ver un supuesto video de contenido pornográfico
El servicio que proporciona el acortador de enlaces tiene la particularidad de permitir elegir el comportamiento de la redirección, dependiendo del tipo de dispositivo desde el que se esté abriendo el enlace. Por eso, el usuario puede llegar a diferentes sitios de acuerdo al dispositivo que use para acceder a estos supuestos videos.
“Cuando comenzamos a investigarlo, descubrimos que una vez que el usuario hacía clic sobre la publicación, era derivado a Tumblr, la conocida plataforma para crear micro blogs sociales en la que se publican todo tipo imágenes, videos y enlaces. Dentro de este sitio web el atacante publicaba distintos enlaces acortados que supuestamente dirigían al video prometido en la publicación de Facebook.
Tal como se puede ver en la siguiente captura, al colocar el cursor sobre la imagen puede verse la URL a la cual se redireccionaba. Si prestas atención, podrás ver que en la palabra “redirect” se ve una URL acortada, para evitar que el usuario pueda ver a simple vista adónde lo llevará el nuevo enlace. Estos enlaces acortados están asociados con smartURL, un servicio gratuito de acortamiento de direcciones web.
¿Dispositivo móvil o PC?
Según el informe realizado por Eset, “en esta campaña en particular, si el usuario intentaba ingresar desde un dispositivo móvil, era direccionado a una página de phishing que simulaba ser el login de Facebook, y le solicitaba que ingrese sus credenciales para continuar y poder acceder al video. En cambio, si la víctima ingresaba desde una computadora portátil o equipo de escritorio, era direccionada a un sitio en donde podría ver un video distinto al que se mencionaba en la publicación de Facebook. Algo a destacar es que en este último caso no se trataba de robar información del usuario, lo que nos lleva a la conclusión de que la campaña se enfocaba solamente en usuarios de dispositivos móviles”.
Para poder diferenciar el dispositivo utilizado por la víctima, se aprovecha una característica de los navegadores web: “user-agent”, asociada con la cabecera del protocolo HTTP y usada para enviar información del cliente al servidor.
Si la víctima completa el formulario que se encuentra en la página de phishing similar a Facebook, se roban sus credenciales y son guardadas en el servidor web del atacante. De esta manera, el usuario queda expuesto a futuras publicaciones no autorizadas o al envío de spam.
Además, con estas cuentas robadas los atacantes logran masificar la propagación de otras campañas que podrían ser de phishing, de propagación de códigos maliciosos o de estafas.