La VoZ digital | Denuncian estafa global a más de 150 mil cuentas de Facebook

2020-11-19 | 19:20

REDES SOCIALES

Denuncian estafa global a más de 150 mil cuentas de Facebook
103



  •  


Imagen ilustrativa. GENTILEZA Imagen ilustrativa. GENTILEZA
Cibercriminales se hicieron de las credenciales de entre 150.000 y 200.000 cuentas de Facebook: nombres de usuarios y contraseñas, direcciones IP e información de identificación personal, como los correos electrónicos.

¿Cómo lo hicieron y cómo protegernos de estas estafas?

Una maliciosa campaña bajo la falsa promesa de conocer quién había visto tu perfil. Así, cibercriminales elaboraron una estafa global que afectó a entre 150.000 y 200.000 cuentas de Facebook, según informó ESET, compañía de seguridad informática que dio cuenta del crimen. 

"ESET advierte que una base de datos Elasticsearch indebidamente configurada y operada por ciberdelincuentes dejó expuestos nombres de usuario y contraseñas", se lee en un comunicado de la empresa al que accedió Sputnik. 

¿CÓMO FUNCIONA?

Los cibercriminales ingresaban a las cuentas de usuarios de Facebook mediante una herramienta que supuestamente revelaba a las víctimas quién había visto su perfil, pero en realidad el objetivo final era robar sus credenciales, relata ESET.

Si bien la empresa de seguridad informática reconoce que no sabe exactamente cómo las víctimas llegaron a esos sitios falsos, encontraron 29 dominios que forman parte de una red de sitios utilizados con este fin. Estos sitios incluían, por ejemplo, mensajes como: "Tu perfil recibió 32 visitas en los últimos dos días. Continúa para ver la lista".

Luego, si la víctima hacía clic en el botón que decía "abrir la lista", era dirigida a una falsa página de inicio de sesión de Facebook, donde se le solicitaba que ingrese sus credenciales de ingreso. Una vez ingresadas, las credenciales eran almacenadas en la base de datos controlada por los atacantes. Pero la estafa no terminaba allí. 

La campaña tenía otra fase maliciosa: los comentarios en las cuentas de las víctimas contenían enlaces a sitios de dudosa reputación y algunas legítimas. Según ESET, el "mix de sitios era una estrategia para evadir los mecanismos de detección y evitar ser bloqueados".

En los sitios se invitaba a los usuarios a registrarse para acceder a una cuenta gratuita de trading de Bitcoin y depositar 250 euros (casi 300 dólares) para comenzar. En caso de realizar el depósito, el dinero iba a parar a manos de los cibercriminales.

Entre los datos almacenados en esta instancia Elasticsearch, ESET identificó:

- Nombres de usuario y contraseñas de entre 150.000 y 200.000 cuentas de Facebook, además de direcciones IP.

- Información de identificación personal de víctimas, como dirección de correo, nombres, o números de teléfono.

- Textos utilizados por los estafadores al momento de publicar comentarios en las cuentas comprometidas para dirigir a las víctimas a sitios maliciosos.

¿CÓMO EVITAR SER ESTAFADO?

El jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya, recomienda:

- Cambiar la contraseña en caso de creer haber sido víctimas de este engaño o de un esquema similar donde hayan ingresado sus credenciales de acceso en un sitio sospechoso.

- Cambiar la contraseña en todos los servicios donde se haya utilizado la misma clave.

- No utilizar la misma contraseña en más de un servicio.

- No ingresar información personal en sitios de dudosa reputación.

- Utilizar mecanismos de autenticación de dos pasos en todas sus cuentas y servicios online.

- Mantener los sistemas actualizados.

- Contar con soluciones de seguridad confiables instaladas en los dispositivos.

- Mantenerse informado sobre los últimos engaños.

 

 

 

 

Fuente Sputnik