Site icon Sophos News

Phishing 2FA de Facebook surge solo 28 minutos después de la creación de un dominio fraudulento

Vamos a contar esta historia principalmente a través de imágenes, porque una imagen vale más que 1024 palabras.

Este ciberdelito es un recordatorio visual de tres cosas:

19 minutos

A las 15:19 del 1 de julio, hora del Reino Unido, los ciberdelincuentes que estaban detrás de esta estafa registraron un nombre de dominio genérico e intachable con la forma control-XXXXX.com, donde XXXXX era una cadena de dígitos de aspecto aleatorio, que parecía un número de secuencia o un ID de servidor:

28 minutos más tarde, a las 15:47 (hora del Reino Unido), recibimos un correo electrónico con un enlace a un servidor llamado facebook.control-XXXX.com, en el que se nos informaba de que podría haber un problema con una de las páginas de Facebook de las que nos ocupamos:

Como puedes ver, el enlace del correo electrónico, resaltado en azul por nuestro cliente de correo electrónico Oulook, parece ir directa y correctamente al dominio facebook.com.

Pero ese correo electrónico no es un correo de texto plano, y ese enlace no es una cadena de texto plano que represente directamente una URL.

En cambio, es un correo electrónico HTML que contiene un enlace HTML en el que el texto del enlace parece una URL, pero en el que el enlace real lleva a la página fraudulenta del delincuente:

Como resultado, al hacer clic en un enlace que parecía una URL de Facebook nos llevó al sitio falso del estafador:

Aparte de la URL incorrecta, que se disimula con el hecho de que empieza con el texto facebook.contact, por lo que podría pasar por alto si se tiene prisa, no hay ningún error ortográfico o gramatical evidente.

La experiencia y la atención al detalle de Facebook significa que la empresa probablemente no habría omitido el espacio antes de las palabras “If you think”, y no habría utilizado el inusual texto ex para abreviar la palabra “ejemplo”.

Pero estamos dispuestos a apostar que muchos no han notado esos fallos, si no los hubiéramos mencionado aquí.

Si te desplazas hacia abajo (o tiene más espacio que nosotros para las capturas de pantalla), podrías haber detectado un error tipográfico más adelante, en el contenido que los ciberdelincuentes añadieron para intentar que la página pareciera útil.

O puede que no. Hemos resaltado el error ortográfico para ayudarte a encontrarlo:

A continuación, los delincuentes nos pidieron nuestra contraseña, algo que normalmente no forma parte del flujo de trabajo de este tipo de sitios web, pero pedirnos que nos autentifiquemos no es del todo descabellado:

Hemos resaltado el mensaje de error “Contraseña incorrecta”, que aparece independientemente de lo que se escriba, seguido de una repetición de la página de la contraseña, que entonces acepta lo que se escriba.

Este es un truco muy común que se utiliza hoy en día, y suponemos que se debe a que hay un viejo consejo de ciberseguridad que sigue dando vueltas y que dice: “Poner deliberadamente la contraseña incorrecta la primera vez, lo que expondrá instantáneamente a los sitios de estafa porque no conocen tu contraseña real y por lo tanto se verán obligados a aceptar la falsa”.

Para ser claros, este NUNCA ha sido un buen consejo, sobre todo cuando tienes prisa, porque es fácil escribir una contraseña “incorrecta” que es innecesariamente similar a la real, como sustituir pa55word! por una cadena como pa55pass! en lugar de pensar en algo no relacionado como 2dqRRpe9b.

Además, como deja claro este sencillo truco, si tu “precaución” consiste en estar atento a un aparente fallo seguido de un aparente éxito, los estafadores acaban de engañarte con una falsa sensación de seguridad.

También destacamos que los ciberdelincuentes añadieron deliberadamente una casilla de consentimiento ligeramente molesta, sólo para dar a la experiencia un barniz de formalidad oficial.

Ahora que has entregado a los estafadores tu nombre de cuenta y contraseña, te piden inmediatamente el código 2FA que muestra tu aplicación de autenticación, lo que teóricamente da a los delincuentes entre 30 segundos y unos minutos para utilizar el código de un solo uso en un intento fraudulento de inicio de sesión en Facebook:

Incluso si no utilizas una aplicación de autenticación, sino que prefieres recibir los códigos 2FA a través de mensajes de texto, los delincuentes pueden provocar un SMS a tu teléfono simplemente iniciando el inicio de sesión con tu contraseña y luego haciendo clic en el botón para enviarte un código.

Por último, en otro truco común en estos días, los delincuentes suavizan el desmontaje, por así decirlo, redirigiéndote casualmente a una página legítima de Faceook.

Esto da la impresión de que el proceso ha terminado sin ningún problema del que preocuparse:

¿Qué hacer?

No caigas en este tipo de estafas.

Recuerda que los estafadores de phishing se mueven muy deprisa hoy en día para poder secuestrar nuevos nombres de dominio tan rápido como puedan.

Lucha contra sus prisas tomándote tu tiempo.

Recuerda estos dos refranes: Para. Piensa. Conecta.

Y después de parar y pensar: En caso de duda, no lo hagas.

Exit mobile version