Reporte sobre tres campañas de phishing identificadas.
Campaña 1
En las últimas semanas hemos identificado que ha habido un incremento en campañas de phishing enfocadas a cuentas de Facebook. En la mayoría de los casos se reciben mensajes que alertan de una posible suspensión de la cuenta que recibe el mensaje y se solicita entrar a un enlace para apelar el reporte. A continuación te mostramos cómo es que se ve uno de estos mensajes:
Todos estos mensajes son recibidos a través de Facebook Messenger, y suelen venir de cuentas o páginas recién creadas.
Es importante identificar que estos mensajes pueden tener enlaces con distintas presentaciones, como por ejemplo:
- https://abri[.]lin/2o6BI (ya está caída)
- https://rebrand[.]ly/BOTSSMEXI que redirige a la siguiente dirección:
- https://heyflow[.]id/mex#start donde aparece la siguiente imagen:
Como se ve en la imagen, al ingresar al enlace malicioso este muestra una pantalla que intenta suplantar la identidad de FB.
En caso de que la persona usuaria ponga sus datos de inicio de sesión, aparece la siguiente imagen:
Los datos son enviados al servidor del atacante, efectivamente robándolos. Por el contrario, si la persona usuaria da click en Olvidaste tu contraseña o en Crear cuenta nueva, la página no redirige a ninguna dirección. Estos dos botones son estáticos y son sólamente imágenes. En el caso de dejar los campos de usuario y contraseña vacíos, hay una redirección a la página legítima de facebook: https://es-la.facebook.com/help.
En el caso de MacOS, el sitio falso también hace una enumeración de los archivos y directorios en la máquina de la persona usuaria y modifica el registro de eventos de la misma para que no quede registro de la acción realizada a través del explorador.
Campaña 2
Otra campaña que hemos detectado en las primeras semanas de enero de 2024, es similar a la anterior. Se recibe un mensaje similar al anterior, del que adjuntamos una captura de pantalla. De la misma manera, estos mensajes se reciben a través del Facebook Messenger.
La dirección https://ref[.]vn/ch67wh redirige a https://www.hung2[.]click/mxn-anhnv, donde aparece la siguiente imagen:
Esta imagen, también intenta suplantar la identidad de Facebook. Si la persona usuaria proporciona sus datos de inicio de sesión, entonces al dar click en el botón Iniciar sesión, la página redirige a https://facebook.com/login el cual es un sitio legitimo.
Campaña 3
Al igual que las dos campañas anteriores, se recibe de usuarios apenas registrados en Facebook un mensaje similar a este, ahora en inglés:
El link que aparece (https://l.facebook.com/l.php?u=https%3A%2F%%2Fmeta-09-2024.com%2F en realidad redirige a la siguiente dirección: https://meta-09-2024[.]com. Si bien este enlace ya se encuentra caído, hemos identificado otro mensaje similar que probablemente sea de la misma campaña ya que redirige a una dirección similar: https://meta-04-2024[.].com.
Si la persona usuaria da click en dicho enlace, aparece la siguiente página:
En esta página, que, como en las campañas mencionadas anteriormente intenta suplantar la identidad de Facebook, si la persona usuaria da click en Submit, no sucederá nada. Pero los datos de inicio de sesión serán guardados en el servidor del atacante. Asimismo, en esta campaña, el simple hecho de abrir la página activa una serie de códigos que intentan recuperar las contraseñas de acceso que pudieran estar guardadas en el explorador de la persona usuaria. A diferencia de las campañas anteriores, los datos que se piden (nombre, email, año de nacimiento, número de teléfono y la sección de apelar (appeal) pueden ser utilizados por el atacante para intentar un acceso a la cuenta de Facebook a través de las opciones de recuperación de cuenta que tiene la plataforma de Facebook.
Campaña 4
Como en las campañas anteriores, la persona usuaria recibe un mensaje en el messenger de facebook diciendo lo siguiente:
Al dar click en el enlace: https://ref[.]az/37cHcV3, la persona usuaria es redirigida a la siguiente página: https://thc2fa[.]click/phuongnm2. En esta página se muestra la siguiente imagen.
Al dar click en el botón de Continuar, aparece la siguiente imagen:
Como en todas las campañas anteriores, aquí también se intenta suplantar la identidad de Facebook. El link ¿Olvidaste tu contraseña? no es un link, ya que al darle click no sucede nada, es simplemente una imagen estática. Por el contrario, si la persona usuaria introduce sus datos de inicio de sesión, estos son enviados al servidor del atacante. Y luego la persona usuaria es redirigida a esta dirección legítima de facebook https://en-gb.facebook.com.
Ver esta publicación en Instagram
Recomendaciones:
- Recuerda que las plataformas nunca te pedirán información personal, o de inicio de sesión, y las notificaciones pertinentes llegarán como notificaciones en la plataforma y no como mensajes.
- Leer bien los mensajes recibidos. Como se ve en los dos que están en español, la redacción es cuando menos sospechosa. En el caso del mensaje en inglés, si la persona usuaria tiene configurada su cuenta de Facebook en español, es poco probable recibir un mensaje por parte de Facebook en inglés.
- Revisar los remitentes, en este los nombres de usuario son sospechosos: Jarochos King, Brinca YUS, Mezcal-Mio SP, Guest 2789, Z TECK 20
- Revisar los links a los que uno debe de entrar. En los dos primeros casos las direcciones no tienen nada que ver con Facebook, en los dos últimos ejemplos, la sección l.php?u=https%3A%2F%%2Fmeta-09-2024.com%2F es una redirección a otra dirección web.
- Si le diste click a cualquiera de los enlaces, aunque no hayas ingresado tus datos, te recomendamos cambiar tu contraseña y tu configuración de doble factor de autenticación. Aquí el tutorial de Facebook.
- También recomendamos que hagas lo anterior para cualquier cuenta que tuviera una sesión iniciada en tu explorador, incluyendo la de Google si eres persona usuaria de Chrome.