El phishing por social media se refiere a un ataque ejecutado a trav¨¦s de plataformas como Instagram, LinkedIn, Facebook, o Twitter. El prop¨®sito de dicho ataque es robar datos personales u obtener el control de su cuenta.
Las redes sociales se han vuelto tan presentes como el aire que respiramos. Los individuos usan Facebook, Instagram, Twitter y una multitud de plataformas para estar al d¨ªa con amigos y familia, recibir las ¨²ltimas noticias y conectar con el mundo.
Los negocios tambi¨¦n las usan para mantener informados a los clientes acerca de las ¨²ltimas actualizaciones de productos, eventos, marketing y atraer a nuevos clientes. Esto hace que las redes sociales sean una plataforma atractiva para que los actores maliciosos ejecuten ataques de phishing. Herramientas como Hidden Eye o ShellPhish hacen que estos ataques de phishing sean tan sencillos como correr una aplicaci¨®n.
La informaci¨®n obtenida por los hackers incluyen credenciales de inicio de sesi¨®n para cuentas en redes sociales, informaci¨®n de tarjetas de cr¨¦dito e informaci¨®n personal sobre usted que puede utilizarse para lanzar otras estafas y ataques.
Instagram es una plataforma popular para compartir texto y fotos. Los ¡°instagrammers¡± alrededor del mundo usan esta plataforma como una especie de diario en video para compartir actividades y momentos de todos los d¨ªas.
Un ataque de phishing en Instagram inicia cuando un ataque crea una p¨¢gina falsa de inicio de sesi¨®n en Instagram. Para enga?arlo, estas p¨¢ginas falsas est¨¢n hechas para parecerse lo m¨¢s posible al sitio real. Cuando ingresa un ID de usuario de Instagram y una contrase?a al sitio falso, el atacante obtendr¨¢ sus credenciales. Usualmente se ver¨¢ redirigido hacia la p¨¢gina real de Instagram para iniciar sesi¨®n para ¡°verificar¡±, pero el da?o ya est¨¢ hecho. Con sus credenciales de Instagram, el atacante tiene acceso completo a su cuenta.
Si usa esas mismas credenciales para iniciar sesi¨®n en otros sitios de redes sociales, o peor a¨²n, su cuenta bancaria, el atacante tambi¨¦n tendr¨¢ acceso a esas cuentas.
Despu¨¦s de obtener acceso a su cuenta de Instagram, el hacker puede usarla para espiarle. El hacker tambi¨¦n ahora puede hacerse pasar como el usuario leg¨ªtimo y solicitar informaci¨®n personal a sus amigos y seguidores. Naturalmente, el hacker cubre cualquier rastro eliminando los mensajes fraudulentos.
Llevando las cosas al siguiente nivel, el atacante puede tomar por completo el control de su cuenta de Instagram. El hacker puede cambiar su informaci¨®n personal, preferencias e incluso su contrase?a, por lo tanto expuls¨¢ndolo de su propia cuenta.
LinkedIn es la plataforma m¨¢s utilizada de networking profesional. Los hackers mandan correos, mensajes de LinkedIn y links en un intento de enga?arlo para que divulgue informaci¨®n sensible, datos de tarjetas de cr¨¦dito, informaci¨®n personal y credenciales de inicio de sesi¨®n. El actor malicioso podr¨ªa hackear su cuenta de LinkedIn para hacerse pasar por usted y mandar mensajes de phishing a sus conexiones para recolectar datos personales.
El hacker tambi¨¦n puede mandar correos que parecen venir directamente de LinkedIn. Esto es posible debido al hecho que el sitio oficial de LinkedIn tiene varios dominios leg¨ªtimos de correo, incluyendo linkedin@e.linkedin.com y linkedin@el.linkedin.com. Esto hace dif¨ªcil mantenerse al d¨ªa con los dominios aut¨¦nticos versus los falsos que podr¨ªan usar los atacantes.
Lanzado en los 2000s, y con m¨¢s de 2.9 mil millones de usuarios activos, Facebook es el rey de todas las redes sociales modernas. Sitios como Friendster y MySpace lo precedieron, pero Facebook ha creado la base para c¨®mo la gente y los negocios se conectan con amigos, familia y clientes.
Un ataque t¨ªpico de phishing por Facebook se entrega a trav¨¦s de un mensaje o un link que le solicita dar o confirmar su informaci¨®n personal. Entregado a trav¨¦s de una publicaci¨®n de Facebook o a trav¨¦s de la plataforma de Facebook Messenger, a menudo es dif¨ªcil distinguir un mensaje leg¨ªtimo de un amigo de un intento de phishing.
La informaci¨®n recopilada a trav¨¦s de un intento de phishing por Facebook le da a los atacantes la informaci¨®n que necesitan para obtener acceso a su cuenta de Facebook. Puede recibir un mensaje dici¨¦ndole que hay un problema con su cuenta y que necesita iniciar sesi¨®n para corregir el problema.
Estos mensajes cuentan con un link conveniente que lo lleva a un sitio web parecido a Facebook. Una vez que llega al sitio impostor, se le pide iniciar sesi¨®n. Desde ah¨ª, el hacker puede obtener sus credenciales. Ponga atenci¨®n a la URL para estar seguro de que se encuentra en www.facebook.com. Cualquier otra cosa es probablemente falsa.
Mientras que Facebook se promueve como una forma de mantenerse en contacto con amigos y familia y LinkedIn se usa como una avenida para que los profesionales se conecten, Twitter le permite interactuar con personas que nunca ha conocido en el mundo real. Este nivel de comodidad que adoptan los usuarios al interactuar con extra?os ha hecho de Twitter una plataforma popular para los ataques de phishing.
Los hackers que operan en Twitter usan las mismas t¨¢cticas y t¨¦cnicas de phishing que en otras redes sociales. Un actor malicioso manda mensajes falsos diciendo ser de Twitter. Estos mensajes intentan enga?arlo para divulgar informaci¨®n sensible, como credenciales de inicio de sesi¨®n, informaci¨®n personal e incluso datos de tarjetas de cr¨¦dito. Twitter ha dejado claro que solamente mandan correos a usuarios desde dos dominios: @twitter.com o @e.twitter.com.
Estos ataques de phishing pueden llevar a otros ataques relacionados, incluyendo el ataque de ¡°pago por seguidores¡±. En este m¨¦todo de phishing, usted recibe mensajes de parte de los hackers diciendo poder darle un n¨²mero espec¨ªfico de ¡°seguidores¡± por el bajo precio de cinco d¨®lares. Dar su informaci¨®n personal y su n¨²mero de tarjeta de cr¨¦dito le abre la puerta a los hackers para retirar fondos de su cuenta y/o iniciar sesi¨®n en su cuenta de Twitter para continuar la estafa con su lista de seguidores.
Art¨ªculos Relacionados
Investigaciones Relacionadas