Hace unos pocos días salió a la luz un nuevo proyecto titulado Facebook Pwn, una iniciativa desarrollada a modo de pruebas de concepto, pero que podría ser utilizado con fines maliciosos para recabar información confidencial en la red social más popular. La aplicación es muy sencilla, permite descargar información de perfiles de Facebook, a partir del envío de falsas solicitudes de amistad a los usuarios víctima.

¿Cómo funciona la aplicación? A partir de la creación de un perfil para robar la información, se van eligiendo los perfiles de las víctimas; y la herramienta, a través de diversos plugins, envía invitaciones de amistad automáticas y, si son aceptadas, descarga en la computadora toda la información disponible en el perfil afectado. De esta forma, todos los contenidos que son subidos a la red social pueden estar en poder de un tercero si el usuario tiene la mala costumbre de aceptar solicitudes de amistad de forma frecuente, y sin conocer los datos del “nuevo amigo”.

La herramienta, además, permite realizar la invitación utilizando fotos de usuarios amigos de la víctima, de forma de optimizar la probabilidad que la solicitud sea aceptada.

En un principio, vale destacar que la aplicación no hace nada que no pueda realizarse manualmente, solo que lo automatiza y por ende lo hace más peligroso. Aunque el autor aclara que el proyecto “es una prueba de concepto” y que “no debe abusarse” del mismo (“This project is a PoC. Use it on your own risk and please do not abuse! “) , la realidad es que se trata de otra herramienta maliciosa más al alcance de cualquier usuario malintencionado.

Lamentablemente las redes sociales se han convertido, para muchos usuarios, es un lugar para “coleccionar amigos”, sin tomar conciencia que detrás de cada uno de esos contactos, puede haber una persona malintencionada; o se pueda exponer (sin ser conscientes) la privacidad como persona.

¿Qué puede hacer el usuario? En primer lugar, evitar la acumulación innecesaria de amigos. Si en el mundo físico no andamos relacionándonos con cientos de personas solo porque sí, es bueno llevar la misma buena práctica al mundo virtual. En ese contexto, rechazar las solicitudes de amistad de desconocidos es la mejor práctica a seguir.

En segundo lugar, dada las características de la herramienta, es bueno verificar que no se estén recibiendo solicitudes de amistad de personas que ya son nuestros amigos; ya que es una de las características de Facebook Pwn.

Finalmente, muchos usuarios suelen aceptar solicitudes de amistad de desconocidos para, justamente, “conocer gente”. En esos casos (que deben evitarse hacerse de forma “automatizada” o “natural”), es recomendable tener en cuenta:

• Que es posible configurar la privacidad de Facebook para que estos contactos desconocidos no vean el perfil completo sino solo determinados contenidos.
• Que es posible intercambiar mensajes con aquellos contactos que no son nuestros amigos. Por lo tanto, antes de aceptar una solicitud, no es una mala práctica enviar un mensaje intentando averiguar cuál es la intención de contacto.

Estas, son algunas de las buenas prácticas para Facebook, de forma tal de evitar este tipo de ataques que luego pueden inducir a otros delitos informáticos como el robo de identidad. Les recomiendo la lectura completa de la Guía de Seguridad en Redes Sociales para conocer más buenas prácticas sobre esta problemática.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Redes Sociales
1 Comment »

A pesar de ser un tema muy reiterado, los famosos ataques de phishing continúan siendo muy efectivos a la hora de obtener información de los usuarios descuidados. Estas técnicas de ataque, consisten en duplicar el sitio web original de la entidad bancaria donde acceden las victimas, creyendo que ingresan al sitio real y sin darse cuenta entregan sus datos al atacante. Hay distintos métodos para que una víctima logre ser engañada, mediante técnicas de Ingeniería Social. El siguiente caso de phishing, se encuentra enfocado para usuarios de una entidad bancaria de Brasil, este caso fue reportado por un usuario a nuestros Laboratorios.

El ataque comienza con la llegada de un correo al usuario. A este se le informa en el asunto sobre una supuesta actualización de un modulo de seguridad del banco. En el correo también se observa un enlace, el cual llevará a la victima a otro sitio:

Una vez que la víctima ingresa al sitio, automáticamente mediante una aplicación desarrollada en Flash, se le indica que ingrese los datos de su cuenta bancaria, CPF (Cadastro de Persona Física) y sucursal:

Todos los datos recolectados por esta aplicación son enviados a otro formulario, tal como se puede ver en el decompilador de Flash que utilizamos para analizar la aplicación:

Si se analiza el sitio web  donde están alojados los archivos de phishing, se puede observar desde un backdoor utilizado para controlar dicho sitio, hasta archivos para montar un scam para robo de sesiones del mensajero instantáneo Messenger:

Es importante que los usuarios estén atentos de no brindar ningún tipo de información personal, ya que los bancos nunca van a realizarlo mediante esta modalidad. Mantener buenas prácticas para la navegación en Internet y contar con una solución con capacidad proactiva, como ESET NOD32 Antivirus, puede prevenir muchos de estos los ataques tan habituales que se observan diariamente.

Como un consejo extra, en la mayoría de los sitios en los que se nos solicita información sensible, como home banking, pago de servicios en línea, compra de productos, entre otros; se puede observar en la barra de direcciónes que la dirección URL comienza con HTTPS (Hyper Text Transfer Protocol Secure), indicando que la transmisión de datos está siendo cifrada.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Phishing
1 Comment »