Búsqueda de Ciberamenazas

Los estafadores de Instagram están más ocupados que nunca: las contraseñas y los códigos 2FA están en peligro

Escrito por
22 marzo 2022
Threat Research estafa Instagram

Supervisamos una serie de emails relacionados con Naked Security, por lo que recibimos un suministro regular (una palabra que utilizamos aquí para decir “implacable”) de spams y estafas del mundo real.

Algunas de nuestras direcciones de correo electrónico están, obviamente, asociadas directamente con varias cuentas de medios sociales relacionadas con Sophos; otras son direcciones más generales orientadas a los negocios; y algunas son simplemente correos electrónicos normales.

Como resultado, nos gusta pensar que nuestro suministro de estafas es una muestra representativa fiable de lo que hacen los delincuentes y, como probablemente hayas notado, aunque vemos todas las “viejas glorias” casi todo el tiempo, a menudo vemos oleadas de una estafa específica que encabeza nuestras listas de prevalencia.

En un momento dado, las estafas de extorsión sexual estaban en el puesto número 1 (ese odioso tipo de mensaje se convirtió en un verdadero diluvio en 2019 y 2020).

Luego, las estafas de entrega a domicilio y de paquetería arrasaron durante un tiempo; después tuvimos una oleada de estafas de Docusign.

Sin embargo, ahora mismo, nuestro feed de estafas está inundado de una variedad de fraudes dirigidos a Instagram, Instagram e Instagram.

Estafas de Instagram de muchos tipos

En los últimos días, hemos tenido una advertencia falsa de Instagram, completa con la marca de Instagram, en cada una de estas categorías:

  • Advertencia falsa: Violación de las directrices de la comunidad. Solución propuesta: Ponte en contacto con nosotros para encontrar el contenido que hay que eliminar para levantar el bloqueo.
  • Advertencia falsa: Infracción de los derechos de autor. Solución propuesta: Impugnar la reclamación y anular la sanción que te han puesto rellenando un formulario.
  • Advertencia falsa: Alerta de inicio de sesión sospechoso. Solución propuesta: Si no eras tú, haz clic ahora para asegurar tu cuenta.

Aunque la mayoría de los ejemplos que hemos recibido eran suplantación de identidad con nombre de usuario y contraseña al estilo antiguo, uno de ellos también solicitaba nuestro código 2FA.

Aunque los códigos 2FA suelen ser válidos sólo durante unos minutos, los ciberdelincuentes ya no se limitan a recopilar datos de phishing para utilizarlos después.

Muchos ciberdelincuentes utilizan técnicas manuales o automáticas que les alertan en cuanto las víctimas visitan sus sitios de phishing, lo que les permite reaccionar en tiempo real.

Si consiguen engañarte para que entregues un código 2FA además de tu contraseña, intentarán esa combinación de contraseña y código 2FA inmediatamente, sabiendo que, si son lo suficientemente rápidos, es probable que tengan éxito antes de que el código 2FA caduque.

Aunque esto no es exactamente una noticia emocionante o inesperada, si  es un recordatorio de que estas estafas siguen dando resultados para los ciberdelincuentes, dándoles potencialmente acceso instantáneo a cuentas de redes sociales establecidas y de confianza.

Y aunque estas ciberestafas no suelen ser demasiado difíciles de detectar, los ciberdelincuentes son cada vez mejores en hacer que sean más fáciles de pasar por alto.

Es fácil pasar por alto las señales de advertencia y caer en la trampa si se tienes prisa, o si se está distraído por cualquier razón, o si se es una persona confiada que piensa: “Oh, obviamente ha habido algún error. Seguro que es cuestión de un momento solucionarlo, gracias al formulario práctico y de aspecto oficial que se proporciona”.

En qué hay que fijarse

Este es el aspecto de los falsos avisos que hemos recibido; si tienes amigos o familiares que crees que pueden ser engañados con este tipo de mensajes, comparte este artículo con ellos para que sepan que son uno de los millones de personas que reciben los mismos mensajes fraudulentos.

A menudo es más fácil convencer a las personas cercanas y queridas si es otra persona la que está detrás de los consejos que les ofreces; aunque sólo sea porque suena menos “sermoneador” o sentencioso si lo dice alguien que no conocen.

Y, a veces, las imágenes valen más que 1.000 palabras, así que así es como se ven.

  1. Ejemplo falso de “Alerta de inicio de sesión sospechoso”:

  1. Muestra falsa de “Violación de las normas comunitarias”:

  1. Ejemplo de falsa “Infracción de los derechos de autor”:

¿Qué pasa si haces clic?

Este es un ejemplo del tipo de páginas de seguimiento que verías si hicieras clic: esta es la secuencia de “inicio de sesión sospechoso”:

Y aquí está la falsa “apelación de derechos de autor”: fíjate en el nombre del sitio web en estas imágenes, donde lo que parece una I mayúscula (ojo) es en realidad una L minúscula (ell):

Por último, aquí está la falsa “violación de la comunidad”, completa con una página de phishing que intenta obtener tu código 2FA (o uno de tus códigos de seguridad si no tienes tu teléfono a mano) para que los ladrones intenten entrar en tu cuenta de inmediato, en tiempo real:

¿Qué hacer?

  • No hagas clic en los enlaces “útiles” de los correos electrónicos u otros mensajes. Aprende de antemano cómo manejar las quejas o avisos de seguridad de Instagram, para que conozcas el procedimiento antes de tener que seguirlo. Haz lo mismo con las demás redes sociales y sitios de distribución de contenidos que utilices. Si ya conoces la URL correcta que debes utilizar, nunca tendrás que confiar en ningún enlace de ningún correo electrónico, ya sea real o falso.
  • Piensa antes de hacer clic. Los correos electrónicos anteriores sólo son vagamente probables, por lo que esperamos que no los creas en primer lugar (véase el punto 1), pero si haces clic por error, no te apresures a ir más allá. Los sitios fraudulentos anteriores tenían certificados HTTPS (candados) y nombres de servidor que incluían texto como “lnstagram” (nota: ¡con L, no con I!), pero claramente no estaban alojados en el sitio genuino de Instagram. Unos segundos para detenerse y comprobar los detalles del sitio es tiempo bien empleado.
  • Utiliza un gestor de contraseñas.Los gestores de contraseñas ayudan a evitar que pongas la contraseña correcta en el sitio equivocado, porque no pueden sugerir una contraseña para un sitio que nunca han visto antes.
  • Ve nuestro vídeo a continuación para obtener más consejos. A principios de 2021, presentamos una charla en Facebook Live sobre la historia y la evolución de este tipo de estafa. Si tienes algún amigo que dependa de las redes sociales para generar ingresos, y que pueda estar preocupado porque le corten sus cuentas, muéstrale el vídeo para protegerlo de trucos como este.

Acerca del autor

Naked Security es el blog oficial de Sophos en inglés en el que se cometan las últimas noticias sobre ciberseguridad.

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *