Posted on

Estafas de phishing en Facebook: cómo detectarlas y prevenirlas

, Author

Facebook ha pasado por momentos difíciles últimamente: Cambridge Analytica (y otros), campañas de desinformación, violaciones de datos… las malas noticias parecen sucederse con rapidez. No es de extrañar que la seguridad de nuestra otrora amada red social esté bajo escrutinio.
A pesar de haber perdido el favor del público, Facebook sigue siendo la plataforma de redes sociales dominante, con más de dos mil millones de usuarios activos mensuales, sin contar con Instagram, Messenger y Whatsapp.
Con tanta gente usando la plataforma, es importante considerar las preocupaciones de seguridad de los usuarios, y por extensión de las empresas, y cómo se pueden mitigar las amenazas.

¿Por qué deberían preocuparse las empresas por Facebook?

Como propietario de una empresa o profesional de TI, probablemente pienses que Facebook no es realmente un problema para tu organización, lo has bloqueado en la red, ¿qué daño puede hacer?
Bueno, hay amenazas directas e indirectas.
Independientemente de la demografía de tu plantilla, es probable que la mayoría de tus empleados tengan una cuenta de Facebook. Siendo cínicos, esto en sí mismo podría poner en riesgo a su organización.
Es sorprendente la cantidad de información que la gente está dispuesta a divulgar en un foro muy público. Puedes averiguar el trabajo de la gente, su ubicación actual, su educación, sus creencias políticas, sus intereses, sus cumpleaños, su familia y sus relaciones, y la lista continúa.
Sin la configuración de privacidad y seguridad adecuada, es muy fácil para un hacker hacer un trabajo de reconocimiento, unir perfiles de redes sociales e idear un ataque de phishing adaptado a la persona. Hay ejemplos de una simple actualización de estado que ha llevado a los usuarios a ser extorsionados, amenazados a punta de pistola y a robar en sus casas. Sí, son ejemplos civiles, pero podría aplicarse fácilmente al entorno empresarial.
Las empresas deben asegurarse de que los empleados no revelan información sensible sin darse cuenta, algo que debe tenerse en cuenta en la política de seguridad y de redes sociales de la organización.

Perfiles falsos de Facebook

Mucha de la actividad fraudulenta o «inauténtica» en Facebook puede atribuirse a perfiles y páginas falsas. Son una molestia y un problema continuo para la plataforma.
En el primer trimestre de 2018, Facebook eliminó 583 millones de perfiles falsos, es decir, casi 6,5 millones al día.
La sala de prensa de Facebook está inundada de historias de prensa sobre cómo están luchando contra la actividad inauténtica coordinada en países como Brasil, Irán y Myanmar, actividad que difunde propaganda y malestar político en estas naciones. A pesar del éxito de las campañas a nivel estatal, las amenazas que afectan a la base de usuarios más amplia no se están abordando.
Cada día vemos en las noticias historias sobre nuevos ataques de phishing en Facebook, los vulnerables son el objetivo y son explotados. Es necesario mejorar la vigilancia de los malos actores y, sin ello, la reputación de Facebook, ya empañada, seguirá viéndose perjudicada.
Facebook es consciente de la necesidad de hacer más, pero los usuarios no pueden eximirse de su responsabilidad, sino que deben practicar hábitos de navegación seguros y abordar las interacciones en línea con una buena dosis de escepticismo. En primer lugar, los usuarios deben saber cómo identificar un perfil falso de Facebook.

¿Cómo detectar un perfil falso en Facebook?

En última instancia, las redes sociales fueron diseñadas para establecer contactos, de hecho, parte de la declaración de la misión de Facebook es «acercar al mundo». En algún momento, los usuarios se toparán con perfiles extraños, esa es la naturaleza de la plataforma, por lo que es importante saber identificar las características que suelen tener los perfiles falsos:

  1. Utilización de fotos e información de otras personas

Utilizar fotos e información de otras personas es una táctica común de los perfiles falsos de Facebook, después de todo, la idea es operar bajo un alias. Las fotos suelen ser el mayor engaño, ya que tienden a ser atractivos retratos, celebridades o fotografías de stock terriblemente genéricas. Hay una manera fácil de averiguar si las fotos están legítimamente vinculadas a esa cuenta.
Nos encontramos con este perfil de Facebook en la página de Facebook de un sitio de citas:

Haciendo una búsqueda inversa de imágenes para un par de fotos en el perfil, era muy evidente que las fotos eran de un modelo.

2. El nombre en la URL no coincide con el nombre del perfil de Facebook
Al configurar tu perfil de Facebook, tu URL será tu ID de Facebook y debería ser algo así:

Como todo en Facebook, puedes personalizar tu URL Tener una URL incongruente con el nombre del perfil podría ser una señal de alerta de que se trata de una cuenta falsa o hackeada. Por ejemplo, el nombre del perfil de abajo es Sarah Collins, pero el nombre en la URL es Oking Akin.

3. Información de perfil dudosa
Es raro que te topes con un perfil que esté «completo», Facebook tiene tantos campos que es difícil mantenerse al día. Sin embargo, hay que tener cuidado con las incoherencias en la información del perfil. Este es el cuadro de introducción de otro perfil de Facebook que encontramos:

Esta cuenta en particular trabaja en agencias de modelos en Sudáfrica, estudió en Australia y vive en California. Podría ser una modelo de la jet set internacional que busca el amor en Facebook, pero es poco probable.
4. Línea de tiempo / historia del perfil irregular
Con cualquier cuenta, es probable que haya lagunas en la actividad y la historia, pero los usuarios deben estar atentos a las inconsistencias. Un perfil que encontramos fue a la universidad antes de ir al instituto.

  1. Publicación de contenidos de baja calidad

Al examinar las páginas de Facebook de los servicios de citas en línea, las cuentas falsas mostraban un claro patrón de comportamiento: presentaciones públicas y anuncios de que estaban buscando una relación. Por sí solos, los comentarios pueden parecer bastante inocuos, sin embargo, al indagar en los perfiles y compararlos con otra actividad, se hace muy evidente.

¿Cuáles son las estafas de phishing más comunes en Facebook?

Estafas románticas

Las estafas románticas no son en absoluto nuevas, ni están aisladas en Facebook, pero Facebook es una plataforma perfecta para que los estafadores lleven a cabo este tipo de ataques de phishing.
El mercado de las citas online ha proliferado en los últimos años; la gente se ha sentido mucho más cómoda con el concepto y el estigma parece haber caído. Empresas de citas en línea como Tinder, Match.com y Bumble han surgido creando sus propias aplicaciones y sitios web para atender a sus usuarios, y a la par, una considerable presencia en las redes sociales.
Han surgido grupos y páginas menos «oficiales» para atender a una gama más amplia de preferencias de citas.
La naturaleza de las redes sociales y de los servicios de citas en línea hace que haya una mezcla entre ambos, ya que ambos son inherentemente sociales y se basan en la interactividad entre los usuarios.
Así que nos lanzamos a la caza de cuentas falsas para ver qué podíamos descubrir.
Examinando los comentarios de la página de Facebook de Tinder, nos dimos cuenta de que había perfiles falsos. En el contexto de la página, el siguiente comentario puede parecer bastante inocuo, pero algo parecía un poco falso, así que investigamos el perfil.
El perfil en sí tiene todos los rasgos de una cuenta falsa: línea de tiempo limitada de actividad e información, duplicación de fotos, intereses muy centrados en las citas y en los camioneros y también está basado en Texas, que ha sido identificado como un semillero de estafas románticas en la historia reciente.
Al hacer una búsqueda inversa de imágenes para una de las fotos de la cuenta, se puede ver que la imagen del perfil ha sido indexada con una cuenta de Twitter, y aparece en cuentas relacionadas, lo que aumenta la probabilidad de que se trate de un perfil falso…

No tardamos en encontrar esta cuenta falsa, ni fue el único caso. Echamos un vistazo a la sección de comentarios y nos encontramos con varios más:

La página de Facebook de Match.com sufre el mismo problema. Un rápido vistazo a los comentarios de la página y encontramos este perfil:

A primera vista, estos perfiles pueden parecer bastante inofensivos. Simplemente contribuyen a una cantidad cada vez mayor de charla inane en la plataforma, sin embargo, pueden ser sólo el precursor de la creación de cuentas para aplicaciones de citas en línea como Tinder, Happn y Bumble, todas las cuales utilizan Facebook para extraer información y autenticar a los usuarios.
Típicamente, las estafas románticas son una forma de ataque de ingeniería social que busca ganarse la confianza de sus objetivos, y luego manipularlos para que entreguen dinero, regalos o información sensible. Desconfíe de los usuarios que:

  • se muestran demasiado fuertes, te colman de amor y afecto en poco tiempo
  • intentan trasladar la conversación a un canal privado y alejado del dominio original
  • piden mucha información personal, aunque son reacios a dar mucho ellos mismos
  • no están dispuestos a quedar cara a cara, hacen videollamadas y esquivan las conversaciones en la vida real
  • inventan un motivo para que envíes dinero o regalos.

Regalos &Estafas de premios

A la gente le encantan las cosas gratis, por eso los regalos son una herramienta de marketing eficaz en las redes sociales. Como es lógico, es una táctica que los estafadores han adoptado para sonsacar información personal a los ansiosos compradores.
Buscamos «sorteo» en Facebook y no tardamos en toparnos con nuestra primera publicación sospechosa.
Este sorteo en particular parece demasiado bueno para ser verdad.
El enlace lleva a los usuarios a la página de blogspot: https://new-yingtoying.blogspot.com/, una plataforma gratuita de blogs de Google. .

Al hacer clic en los botones «regístrate gratis» y «accede como miembro», el usuario accede a la misma página a través de una serie de redirecciones.

No todas las estafas son tan evidentes.
Ha habido estafas en las que se regalaban vales de Primark, vuelos de Norwegian Air y Virgin Atlantic, y en esta última se utilizaba un código de palabras para engañar a la gente.
También hay que tener cuidado con los anuncios. Sólo porque se trate de un anuncio y haya sido «investigado», no significa necesariamente que no sea una estafa.
Obviamente, si ve un concurso para un viaje al Caribe con todos los gastos pagados, se sentirá tentado, sin embargo, tenga cuidado con los concursos que:

  • son demasiado buenos para ser verdad (como el anterior)
  • dirigen a los usuarios a URLs sospechosas (p. ej. no https, dominios engañosos, redireccionamientos forzados)
  • piden demasiada información o «compromiso» (por ejemplo etiquetar a 10 amigos y compartir en todas sus cuentas de redes sociales) de los que participan
  • pide una cuota de inscripción para entrar en el sorteo
  • están siendo promovidos por una cuenta con un montón de concursos sin señales obvias de ningún ganador

Correos electrónicos de phishing de Facebook

Todos conocemos los correos electrónicos de phishing. Los sistemas de filtrado se han vuelto lo suficientemente sofisticados como para que no veamos la mayor parte de ellos, pero a veces, se cuelan.
Invariablemente, los correos electrónicos de phishing afirman ser de soporte o seguridad cuando pretenden ser de grandes empresas y siguen líneas similares de ingeniería social: su cuenta ha sido hackeada, verifique su contraseña, etc.
Este es un ejemplo de un correo electrónico de phishing de Facebook que hemos encontrado. No es ni mucho menos la estafa por correo electrónico más sofisticada, ni la más seductora. La dirección del remitente no es el típico dominio de Facebook para el correo electrónico (@facebookmail), el correo electrónico en sí no tiene mucho sentido y no hay mucho para atraer a la víctima potencial. No creo que muchos sean engañados por este correo electrónico en particular.
Si no estás seguro de la validez de un correo electrónico de Facebook, siempre puedes comprobar los correos electrónicos que Facebook te ha enviado. Puedes acceder a esto dirigiéndote a la configuración de tu perfil de Facebook, seguridad e inicio de sesión y, a continuación, desplázate hasta la parte inferior para ver la seguridad avanzada:

¿Qué está haciendo Facebook para proteger a los usuarios?

Es un reto sin precedentes para Facebook, vigilar a dos mil millones de usuarios en una plataforma que ha sido diseñada para unir a la gente y que utiliza una multitud de tecnologías en continuo desarrollo; no es de extrañar que Facebook esté luchando por resolver el problema. Facebook ha establecido políticas de integridad y autenticidad para disuadir a los estafadores que operan en la plataforma, pero, como ocurre con la mayoría de las políticas de este tipo, parece la más endeble de las disuasiones.
Por eso Facebook está recurriendo a la inteligencia artificial (IA) para resolver los problemas de seguridad.
La IA es la tecnología de moda, aparentemente la cura para todos los males modernos, pero tiene sentido.
Facebook ha tenido un gran éxito con el despliegue de la tecnología PhotoDNA de Microsoft, introducida originalmente para eliminar la pornografía infantil de la plataforma y desarrollada posteriormente para identificar otros contenidos indeseables.
Aunque es capaz de bloquear millones de cuentas falsas cada día, Facebook reconoce la necesidad de detectar a los estafadores que evaden el control inicial. Las técnicas de aprendizaje automático se entrenan con estafas previamente aprendidas, de la misma manera que MI:RIAM se utiliza para detectar amenazas móviles. Si se sospecha que una cuenta no es auténtica, tendrá que superar una serie de pruebas para calibrar su credibilidad.

¿De qué otra forma pueden los usuarios mantenerse seguros en Facebook?

Los usuarios de Facebook no pueden confiar en que la plataforma imponga una gobernanza y un control adecuados, sino que deben aceptar cierta responsabilidad por su propia seguridad. Hay una serie de funciones de seguridad en Facebook que pueden activarse y comprobarse con regularidad para mejorar la seguridad personal, como la gestión de la privacidad, la autenticación de dos factores (2fa), las alertas de inicio de sesión y la gestión de dispositivos.
Además, Facebook ha incorporado funciones de denuncia en la plataforma para ayudar a los usuarios a autocontrolarse.
También es importante estar al tanto de las últimas técnicas utilizadas por los estafadores. Hay páginas y grupos de Facebook, como Facecrooks, que se dedican a detectar y sacar a la luz estas estafas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.