Una campaña generalizada de phishing en Facebook que dice: "No puedo creer que se haya ido. Lo voy a extrañar mucho", lleva a los usuarios desprevenidos a un sitio web que roba sus credenciales de Facebook.
Este ataque de phishing continúa y se difunde ampliamente en Facebook a través de cuentas pirateadas de amigos, mientras los actores de la amenaza construyen un ejército masivo de cuentas robadas para usar en futuras estafas en la plataforma de redes sociales.
Como las publicaciones provienen de las cuentas pirateadas de tus amigos, parecen más convincentes y confiables, lo que lleva a muchos a caer en la estafa.
La campaña de phishing comenzó hace aproximadamente un año y Facebook tuvo problemas para bloquear las publicaciones y continúan hasta el día de hoy. Sin embargo, cuando se crean y reportan nuevas publicaciones, Facebook desactiva el enlace de redireccionamiento de Facebook.com en la publicación para que dejen de funcionar.
Estafa "No puedo creer que se haya ido"
Las publicaciones de phishing de Facebook vienen en dos formas, una de las cuales simplemente dice: "No puedo creer que se haya ido. Lo voy a extrañar mucho" y contiene un enlace de redireccionamiento de Facebook.
El otro usa el mismo texto pero muestra lo que parece ser un video de BBC News de un accidente automovilístico u otra escena del crimen, como se muestra a continuación.
Fuente: BleepingComputer
Cuando se probó los enlaces en las publicaciones de phishing, nos llevaron a diferentes sitios según el tipo de dispositivo que esté utilizando.
Al hacer clic en el enlace de la aplicación de Facebook en un dispositivo móvil, los visitantes accederán a un sitio de noticias falso llamado 'NewsAmericaVideos' que les solicita que ingresen sus credenciales de Facebook para confirmar su identidad y ver el video.
Para atraer a un visitante a ingresar su contraseña, muestra lo que parece ser un video borroso en el fondo, que es simplemente una imagen descargada de Discord.
Fuente: BleepingComputer
Si ingresa sus credenciales de Facebook, los actores de amenazas las robarán y el sitio lo redireccionará a Google.
Si bien no se sabe para qué se utilizan las credenciales robadas, es probable que los actores de amenazas las utilicen aún más para promover las mismas publicaciones de phishing a través de las cuentas pirateadas.
Visitar las páginas de phishing desde una computadora de escritorio provoca un comportamiento diferente: los sitios de phishing redirigen a los usuarios a Google u otras estafas que promocionan aplicaciones VPN, extensiones de navegador o sitios afiliados.
Esta estafa de phishing está ampliamente difundida, y se ven numerosas publicaciones creadas cada día por amigos y familiares a quienes, sin saberlo, les piratearon sus cuentas mediante la misma estafa.
Como este ataque de phishing no intenta robar tokens de autenticación de dos factores (2FA), se recomienda encarecidamente que los usuarios de Facebook habiliten 2FA para evitar que se acceda a sus cuentas si caen en una estafa de phishing.
Una vez habilitado, Facebook le pedirá que ingrese un código de acceso único y único cada vez que se utilicen sus credenciales para iniciar sesión en el sitio desde una ubicación desconocida. Como solo usted tendrá acceso a estos códigos, incluso si le roban sus credenciales, no podrán iniciar sesión.
Para mayor seguridad, al habilitar la autenticación de dos factores en Facebook, use una aplicación de autenticación en lugar de mensajes de texto SMS, ya que su número de teléfono puede ser robado en ataques de intercambio de SIM.