Quinfo.com
Con 400 millones de usuarios, Facebook es uno de los servicios más populares de toda la Web. Y otras redes sociales, aunque no alcanzan estos números, tienen también un elevado de personas que usan sus páginas de manera regular. Esto hace que, por su tráfico y relevancia, se hayan convertido en objetivo de todo tipo de ataques.
Que el malware o código malicioso se extiende por Internet no es ninguna sorpresa. Pero hasta ahora las redes sociales habían permanecido relativamente a salvo. Los ajustes de privacidad parecían haber contenido la entrada de intrusos en las redes sociales. Pero el panorama está cambiando. Y no para mejor. Por sus características de enlazar gente conocida, se están convirtiendo en un objetivo prioritario de los grupos que buscan aprovechar la red para obtener beneficios a costa de muchos internautas.
El problema con las redes sociales en su estado actual es que se han convertido en un mecanismo de confianza para intercambiar información. Justo como el correo electrónico hace algo más de una década. Como ocurría entonces, un mensaje proveniente de una persona conocida, por tanto de confianza, nos informa de algo relevante, acompañado de un enlace. Si actuamos como habitualmente, y sin pensarlo mucho, tras leer el mensaje e identificar a la fuente, seguiremos el enlace el enlace propuesto. Y, a partir de ahí se desencadena el desastre. Veamos un caso típico.
Anatomía de un ataque en Facebook
Naturalmente la primera parte de un ataque se inicia con un falso mensaje. En el muro del receptor aparece un mensaje y/o llega un correo con la actividad del muro. Algo sencillo como "hola, es esto tuyo foto?!” (El lenguaje es literal de un correo real recibido), seguido de un enlace. Bien, el que haya faltas en el lenguaje ya es un indicativo de que algo no está bien (salvo que el remitente hable habitualmente de esta forma). En realidad se trata de una traducción literal del mensaje en inglés “Hi, is this you in the photo” (tampoco el inglés es muy correcto).
Como es habitual en un correo legítimo de Facebook, hay un enlace para seguir la conversación. Si no hemos iniciado sesión en Facebook, se nos pedirá el clásico y legítimo registro (login). Cuidado de nuevo en este paso, comprobando que es el login de Facebook. En caso de duda, más vale lanzar otra ventana, o pestaña, del navegador, y efectuar una entrada separada en Facebook.
Una vez dentro, descubriremos que el mensaje forma parte de una conversación privada. Interesante detalle, ya que hace que sólo el destinatario, y en principio nadie más, vea este mensaje. Lo que hace que sea más difícil que otros conocidos del receptor le alerten de un posible engaño. Este es un comportamiento habitual en los últimos tiempos, ya que los atacantes buscan la discreción, de manera que no resulte público y notorio el tipo de ataque.
El mensaje contiene un enlace externo a Facebook. Al seguirlo (http://auth.facebook.com.tpixwow.co...) nos encontramos con una “nueva” petición de introducir los datos de registro de Facebook en una página que se asemeja a la Facebook, pero que realmente pertencef a otro dominio, en este caso, tpixwow.com. Segundo punto de atención. Si ya estamos dentro de la red social, no es normal que nos pida de nuevo nuestros indicadores. Este es el punto crítico. Si proporcionamos los identificadores, el atacante habrá logrado su objetivo, ya que tendrá acceso a nuestra cuenta y, con ello a nuestra lista de contactos. Que seguramente, y por el mismo procedimiento, serán objeto de ataque.
En caso de duda, por haber pinchado directamente en el enlace externo propuesto, lo mejor es cerrar la ventana, abrir una sesión en la red social y luego, desde allí seguir el enlace. En ningún caso debería haber una nueva solicitud de introducir los datos de registro.
Como parte “habitual” del ataque, como está documentado en este artículo (en inglés) de Luis Corrons, jefe del laboratorio de Panda Security, si se sigue el enlace, tras haber suministrado las claves de la cuenta, llegaremos a una pantalla donde se encuentra un nuevo cebo. Nada más llegar al sitio trampa, se nos informará que necesitamos una nueva versión de Flash Player para ver correctamente el contenido. Si aceptamos, descargaremos realmente un troyano, usualmente de tipo bancario, pero también cualquier otro tipo de código malicioso que se encargará de tomar control de nuestros datos e invadir a nuestra lista de contactos.
La recomendación es clara: no hay que fiarse de todo lo que llega a nuestro muro o a la bandeja de entrada, ni siquiera cuando proviene aparentemente de contactos conocidos. Además del remitente, que sea conocido, hay que valorar todos los pasos que siguen. Como de costumbre, un poco de sentido común, y (re)conocer el tipo de ataque nos evitará muchos problemas. Y no sólo a nosotros mismos, sino a toda nuestra lista de contactos que podría verse comprometida por nuestras acciones. El efecto en cascada de un usuario de Facebook de cada 10 que caiga en la trampa y no detenga el ataque supondrá que en poco tiempo los 400 millones estarán en riesgo.
RSS 2.0