Site icon Sophos News

Los estafadores de Instagram están más ocupados que nunca: las contraseñas y los códigos 2FA están en peligro

Supervisamos una serie de emails relacionados con Naked Security, por lo que recibimos un suministro regular (una palabra que utilizamos aquí para decir “implacable”) de spams y estafas del mundo real.

Algunas de nuestras direcciones de correo electrónico están, obviamente, asociadas directamente con varias cuentas de medios sociales relacionadas con Sophos; otras son direcciones más generales orientadas a los negocios; y algunas son simplemente correos electrónicos normales.

Como resultado, nos gusta pensar que nuestro suministro de estafas es una muestra representativa fiable de lo que hacen los delincuentes y, como probablemente hayas notado, aunque vemos todas las “viejas glorias” casi todo el tiempo, a menudo vemos oleadas de una estafa específica que encabeza nuestras listas de prevalencia.

En un momento dado, las estafas de extorsión sexual estaban en el puesto número 1 (ese odioso tipo de mensaje se convirtió en un verdadero diluvio en 2019 y 2020).

Luego, las estafas de entrega a domicilio y de paquetería arrasaron durante un tiempo; después tuvimos una oleada de estafas de Docusign.

Sin embargo, ahora mismo, nuestro feed de estafas está inundado de una variedad de fraudes dirigidos a Instagram, Instagram e Instagram.

Estafas de Instagram de muchos tipos

En los últimos días, hemos tenido una advertencia falsa de Instagram, completa con la marca de Instagram, en cada una de estas categorías:

Aunque la mayoría de los ejemplos que hemos recibido eran suplantación de identidad con nombre de usuario y contraseña al estilo antiguo, uno de ellos también solicitaba nuestro código 2FA.

Aunque los códigos 2FA suelen ser válidos sólo durante unos minutos, los ciberdelincuentes ya no se limitan a recopilar datos de phishing para utilizarlos después.

Muchos ciberdelincuentes utilizan técnicas manuales o automáticas que les alertan en cuanto las víctimas visitan sus sitios de phishing, lo que les permite reaccionar en tiempo real.

Si consiguen engañarte para que entregues un código 2FA además de tu contraseña, intentarán esa combinación de contraseña y código 2FA inmediatamente, sabiendo que, si son lo suficientemente rápidos, es probable que tengan éxito antes de que el código 2FA caduque.

Aunque esto no es exactamente una noticia emocionante o inesperada, si  es un recordatorio de que estas estafas siguen dando resultados para los ciberdelincuentes, dándoles potencialmente acceso instantáneo a cuentas de redes sociales establecidas y de confianza.

Y aunque estas ciberestafas no suelen ser demasiado difíciles de detectar, los ciberdelincuentes son cada vez mejores en hacer que sean más fáciles de pasar por alto.

Es fácil pasar por alto las señales de advertencia y caer en la trampa si se tienes prisa, o si se está distraído por cualquier razón, o si se es una persona confiada que piensa: “Oh, obviamente ha habido algún error. Seguro que es cuestión de un momento solucionarlo, gracias al formulario práctico y de aspecto oficial que se proporciona”.

En qué hay que fijarse

Este es el aspecto de los falsos avisos que hemos recibido; si tienes amigos o familiares que crees que pueden ser engañados con este tipo de mensajes, comparte este artículo con ellos para que sepan que son uno de los millones de personas que reciben los mismos mensajes fraudulentos.

A menudo es más fácil convencer a las personas cercanas y queridas si es otra persona la que está detrás de los consejos que les ofreces; aunque sólo sea porque suena menos “sermoneador” o sentencioso si lo dice alguien que no conocen.

Y, a veces, las imágenes valen más que 1.000 palabras, así que así es como se ven.

  1. Ejemplo falso de “Alerta de inicio de sesión sospechoso”:

  1. Muestra falsa de “Violación de las normas comunitarias”:

  1. Ejemplo de falsa “Infracción de los derechos de autor”:

¿Qué pasa si haces clic?

Este es un ejemplo del tipo de páginas de seguimiento que verías si hicieras clic: esta es la secuencia de “inicio de sesión sospechoso”:

Y aquí está la falsa “apelación de derechos de autor”: fíjate en el nombre del sitio web en estas imágenes, donde lo que parece una I mayúscula (ojo) es en realidad una L minúscula (ell):

Por último, aquí está la falsa “violación de la comunidad”, completa con una página de phishing que intenta obtener tu código 2FA (o uno de tus códigos de seguridad si no tienes tu teléfono a mano) para que los ladrones intenten entrar en tu cuenta de inmediato, en tiempo real:

¿Qué hacer?

Exit mobile version