La semana pasada, Twitter anunció que la información de alrededor de 250,000 usuarios podría haberse comprometido previo a que descubriera y detuviera un ataque a su red. Es poco lo que se puede hacer cuando los cibercriminales van directamente al servicio del proveedor para tratar de robar información; sin embargo, es común que los atacantes se acerquen al usuario final con el fin de obtener los detalles de sus cuentas. El phishing es una táctica popular usada para este propósito. Sin embargo, cuando se habla de phishing, muchas personas generalmente piensan que la información que se roba es solo de cuentas bancarias o información crediticia, pero los datos de las cuentas de redes sociales también son un objetivo de los atacantes.
Los cibercriminales ven el phishing en redes sociales como una manera fácil de engañar a los usuarios para obtener su información. Tomemos como ejemplo un ataque particular que se ha estado presentando con Twitter durante los últimos meses para demostrar cómo funcionan este tipo de estafas.
Empieza como un spam en forma de mensaje directo (DM por sus siglas en inglés) o un tweet en donde le piden al usuario dar clic en una liga para ver una fotografía de ellos mismos.
Figura 1. Mensajes Spam
Al hacer clic en el enlace, el navegador se dirige a una página que informa al usuario que debe iniciar sesión en su cuenta para continuar. Parece que la página pertenece a Twitter, pero en realidad es una página de phishing alojada en un servidor preparado por el atacante.
No importa lo que se introduce en los campos de inicio de sesión, las credenciales correctas o incorrectas, el usuario aparecerá de nuevo en su sesión.
Figura 2. Página falsa de inicio de sesión de Twitter usada para un ataque de phishing
Sin embargo, otra página falsa informa al usuario que el sitio que estaban tratando de visitar no existe. La página redirige de nuevo a la legítima página de Twitter y el usuario no es consciente de que algo malicioso ha tenido lugar.
Figura 3. Página falsa que pretende informar al usuario que la página a la que intenta acceder no existe
En cuanto a los datos de red capturados durante uno de estos ataques de phishing, se puede ver que los datos de la cuenta robados fueron publicados en el servidor del atacante que aloja la página falsa de inicio de sesión de Twitter.
Figura 4. Información de red que muestra el envío de la información robada
Posteriormente, la cuenta será hackeada y usada para distribuir spam que lleve a sitios como los de la Figura 6 publicitando varios productos como suplementos de dieta.
Figura 5. Mensaje spam
Figura 6. Publicidad a la que algunos mensajes spam redirigen
Muchos de nosotros podemos estar atentos de ataques de phishing cuando se trata de ingresar detalles de cuentas bancarias o tarjetas de crédito en línea, pero no siempre somos tan cautelosos al ingresar detalles de las cuentas asociadas con los sitios de redes sociales. Los atacantes son conscientes de ello y lo utilizan para su beneficio. El resultado final en el ejemplo que citamos en este blog no es muy grave, pero puede causar potencialmente un daño mucho mayor dependiendo de las intenciones de los atacantes.
Como se mencionó anteriormente, no hay mucho que se pueda hacer cuando se trata de cibercriminales atacando los servicios de un proveedor para robar información, pero sin duda alguna es posible protegerse de estafas como el phishing.
Se recomienda siempre sospechar de enlaces enviados por usuarios desconocidos y en un idioma diferente al usual. Asimismo, las cuentas son hackeadas todo el tiempo por lo que incluso si un enlace es enviado por alguien conocido no quiere decir que sea seguro. También se recomienda que los usuarios instalen software de seguridad para protegerse de ataques de phishing, como Norton Internet Security.
Los usuarios también pueden asegurarse de que sus cuentas en línea estén más seguras mediante el uso de contraseñas o frases que son difíciles de adivinar y no están en el diccionario. Lo ideal es utilizar una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. También se recomienda utilizar contraseñas diferentes para cada cuenta, de esta manera, incluso si una cuenta es comprometida, las demás estarán a salvo.