Facebook es la red social más popular del mundo, por lo tanto es la más atacada por los hackers, mencionan los expertos en auditoría de sistemas. En ese artículo, los especialistas describen algunas de las tácticas empleadas por los actores de amenazas para tomar control de las cuentas de los usuarios desprevenidos.
Un incidente recientemente detectado se relaciona con “Indira Shishani”, un supuesto perfil de una atractiva joven que contactaba a algunos usuarios ofreciendo nuevas oportunidades laborales con altos sueldos. La persona detrás de este perfil afirmaba trabajar para una compañía llamada “Facebook Advertising”.
Para darle mayor credibilidad, el operador del ataque menciona que no se requiere de acceso de administrador a la página: “Puedes hacer hasta tres anuncios o publicar hasta tres artículos al día mediante Facebook y ganar hasta $400 dólares diarios”, aseguraba el atacante.
La víctima debía publicar artículos de sitios web como buzzfeed.com, diply.com, boredpanda.com, USA Today, entre otros sitios, mencionan los expertos auditoria de sistemas. Además, acorde a los especialistas, los atacantes aseguraban a la víctima que no se publicaría contenido malicioso o cualquier clase de contenido restringido por Facebook en su página: “Tenemos creadores de contenido profesionales que escriben artículos y hacen videos”, aseguraban. Luego trataban de obtener la dirección de correo electrónico del administrador, prometiendo pagar por día y añadiendo que los pagos se realizarían a través de PayPal.
Posteriormente, los atacantes solicitaron a la víctima registrarse en su aplicación, enviando un enlace de invitación y mencionando que este sitio pertenecía a la plataforma oficial de Facebook.
Por fortuna, la víctima notó un comportamiento sospechoso, por lo que antes de continuar solicitó al atacante hablar por teléfono, además de solicitar más verificaciones de identidad y una dirección física. Las solicitudes de la víctima fueron rechazadas por el atacante, quien aseguraba que, por políticas de la compañía, no podía tener contacto telefónico con nadie.
Acorde a los expertos en auditoría de sistemas, cuando finalmente se le proporcionó un número de teléfono a la víctima, la línea fue contestada por una recepcionista que inmediatamente dijo que estaba siendo objetivo de una desarrollada campaña de ingeniería social, por lo que el usuario cortó el contacto con el atacante.
La ingeniería social es una de las formas de ciberataque más común, pues al no emplear sofisticadas variantes de malware o exploits que requieren amplios conocimientos técnicos, es posible para cualquier usuario desplegar un ataque empleando perfiles falsos y fotografías extraídas de otras redes sociales.
Para evitar ataques de ingeniería social no existe una fórmula mágica que permita su identificación, ya que estos pueden ser muy variados y utilizar diferentes técnicas. Puesto que la formación y concienciación son realmente importantes en ciberseguridad, en ROOT HEIM hemos desarrollado varias herramientas con las que mejorarlas y conseguir que tu empresa sea más cibersegura.
