Los avisos de «violación de derechos de autor» conducen a la evasión del 2FA de Facebook

Escrito por el en Articles

Los estafadores han ideado una nueva forma de intentar evadir las protecciones de autenticación de dos factores (2FA) en Facebook.

Los ciberdelincuentes están enviando falsos avisos de violación de derechos de autor con la amenaza de retirar las páginas a menos que el usuario intente apelar. El primer paso de la «apelación»? Según el investigador de Sophos Paul Ducklin, se pide a la víctima que envíe un nombre de usuario, una contraseña y un código 2FA desde su dispositivo móvil, lo que permite a los estafadores eludir el 2FA.

El 2FA es una capa de protección añadida a un nombre de usuario y una contraseña que suele implicar el envío de un código único a un dispositivo móvil, que debe introducirse para acceder a una plataforma. Pero los delincuentes están encontrando cada vez más formas de eludirlo.

Ducklin explicó en un post reciente sobre sus hallazgos que Sophos recibe con regularidad correos electrónicos de estafa por infracción de derechos de autor en las redes sociales, pero este se distinguió por lanzar un ataque plausible utilizando páginas fraudulentas generadas en Facebook, dando a sus correos electrónicos de phishing un aire añadido de legitimidad.

«Ninguna de estas tácticas es nueva – esta estafa era simplemente una combinación interesante e informativa», escribió Ducklin a Threatpost en un correo electrónico sobre sus hallazgos. «En primer lugar, el correo electrónico es corto y simple; en segundo lugar, el enlace en el correo electrónico va a un sitio legítimo, a saber, Facebook; en tercer lugar, el flujo de trabajo en el sitio de la estafa es sorprendentemente creíble»

Los correos electrónicos falsos de Facebook ofrecen pistas de que no son legítimos, pero Ducklin señala que es lo suficientemente convincente como para inducir a los administradores de las redes sociales a querer reunir más información sobre las supuestas quejas de violación de derechos de autor, lo que significa hacer clic en el enlace de phishing en el correo electrónico.

El mensaje del correo electrónico amenaza con eliminar la página de la víctima a menos que se presente una apelación en un plazo de 24 horas.

«Verás que cuando pasas el ratón por encima de ‘continuar’, efectivamente te lleva a facebook.com», dijo. «El truco es que la dirección de Facebook es la página fraudulenta configurada para que parezca una página oficial de Facebook dedicada a gestionar los problemas de violación de los derechos de autor».

Desde allí, aunque el texto vinculado parece que los clics se envían a otra página de Facebook – aparentemente para que las víctimas puedan presentar una «apelación»- Ducklin miró y descubrió que la URL de destino es diferente del texto vinculado. En su lugar, envía a la víctima a un dominio .CF con sede en la República Centroafricana.

«Este es un viejo truco utilizado por los delincuentes, e incluso por algunos sitios legítimos», añadió Ducklin.

El sitio se configuró temporalmente en un servicio de alojamiento web en la nube, que genera un certificado HTTPS una vez que el sitio está en línea, lo que hace que la detección sea un poco más difícil, añadió.

«La validez del certificado comenzó a la medianoche de hoy, y el correo electrónico de la estafa que recibimos llegó a la 01:53 UTC, que es la primera hora de la tarde en la costa oeste de Estados Unidos, y la última hora de la tarde en la costa este», escribió Ducklin. «Como puedes ver, ¡los ciberdelincuentes se mueven rápido!»

Una vez en el sitio, se pidió a los usuarios que introdujeran su contraseña, dos veces, accedieran a la aplicación de Facebook en su dispositivo móvil e introdujeran el código 2FA, que se encuentra en la sección «Configuración & Privacidad > Generador de códigos» de la aplicación. Ducklin escribió que esto podría resultar en «potencialmente darles una oportunidad de una sola vez para iniciar sesión como tú, directamente desde su servidor, incluso si tienes 2FA activado».

Una vez que tienen acceso a las credenciales de Facebook de una víctima, los atacantes pueden vender la información en la web oscura, utilizarla para secuestrar o derribar páginas, retener los datos del usuario para pedir un rescate o incluso hacer compras fraudulentas en la aplicación.

Facebook respondió a la solicitud de comentarios de Threatpost, diciendo que la compañía recomienda tener cuidado de no hacer clic en ningún enlace sospechoso, añadiendo que si un usuario es hackeado, puede obtener ayuda para asegurar su cuenta en facebook.com/hacked. La empresa añadió que recomienda utilizar una aplicación de autenticación de terceros como método de seguridad principal. Facebook también tiene una lista de consejos para evitar intentos de suplantación de identidad en su plataforma.

¿Está roto el 2FA?

Saltar el 2FA ha surgido como una tendencia preocupante.

El grupo cibercriminal Rampant Kitten fue descubierto apenas el mes pasado, después de años de operar sin ser detectado, por haber desarrollado un malware para Android que recoge los códigos de seguridad 2FA enviados a los dispositivos, además de la información de inicio de sesión de Telegram, mientras lanza ataques de phishing en Google.

Casi al mismo tiempo, un troyano llamado «Alien» se dirigía a los bancos con un novedoso sniffer de notificaciones que daba a los estafadores la posibilidad de acceder a las nuevas actualizaciones de los dispositivos, incluidos los códigos 2FA, para saltarse la protección.

En mayo, otro ataque a Office 365 intentaba engañar a los usuarios para que concedieran permisos a una aplicación fraudulenta, que luego se saltaba las protecciones 2FA.

La lista de infracciones 2FA continúa. Queda en manos del usuario asegurarse de no caer en este tipo de estafas de phishing. Ducklin añadió que utilizar un filtro web y evitar las solicitudes de datos de acceso por correo electrónico también son buenas políticas a seguir.

«La 2FA nunca ha sido una bala de plata que elimine el phishing y el fraude, pero pone las cosas más difíciles a los ladrones, y te da una oportunidad más para pararte a pensar cuando estás iniciando sesión, ‘¿realmente quiero poner mi contraseña y mi código de acceso *en este mismo sitio*?». dijo Ducklin. Compruebe siempre de dónde proceden los correos electrónicos y a dónde le han llevado los enlaces web, porque lo único peor que ser estafado es serlo y darse cuenta de que los signos reveladores estaban ahí todo el tiempo».

Y añadió: «Como cualquier carpintero le dirá: mida dos veces; corte una».

Deja una respuesta

Tu dirección de correo electrónico no será publicada.