Anuncio
Aquellos que no prestan atención son a menudo los primeros en sucumbir a nuevos hacks y estafas, y si usa regularmente Facebook, que es más probable que no, entonces es posible que deba comenzar a pagar más atención.
Esto es especialmente cierto si prefiere móvil a escritorio.
Los estafadores, habiendo notado que el tráfico móvil ahora es mayor que el tráfico de PC a escala mundial, están comenzando a adaptar sus técnicas para aprovechar a los usuarios móviles. Y viendo cómo los dispositivos móviles tienden a estar menos protegidos que las PC, este es un movimiento ganador para ellos.
Siga leyendo para obtener más información sobre cómo funciona esta nueva técnica de estafa, qué buscar y cómo puede mantenerse seguro en el futuro.
Cómo funciona la estafa de inicio de sesión de Facebook
La estafa usa una técnica llamada Relleno de URL. Una URL típica se compone de tres partes:
- Un dominio (requerido)
http: //facebook.com/photo.php? fbid = 123456 - Un subdominio (opcional)
http: //metro.facebook.com / photo.php? fbid = 123456 - Un camino (opcional)
http://m.facebook.com/photo.php? fbid = 123456
Como usuario móvil, sin duda has visto m.facebook.com en la barra de direcciones de su navegador mientras usa Facebook. Esta es la combinación de subdominio + dominio que muestra que estás en la versión móvil del sitio de Facebook. Cuando lo ves, te sientes seguro.
El relleno de URL es cuando un estafador crea un subdominio en un dominio completamente diferente para suplantar algunos sitio y "rellena" el subdominio con caracteres inocuos para que los usuarios piensen que están en el sitio real sitio.
Aquí hay una URL de ejemplo de PhishLabs:
http://m.facebook.comvalidatestep1.rickytaylk.com/sign_in.htmlVisitar el sitio le presenta una réplica exacta de la versión móvil real de la página de inicio de Facebook, solicitándole que ingrese sus credenciales para que pueda iniciar sesión. Un usuario bien informado pero desatento puede echar un vistazo a la URL, ver m.facebook.com, considere la costa despejada e inicie sesión.
Una vez que ingrese sus credenciales, el juego habrá terminado. El sitio presentará un error discreto (por ejemplo, falta de coincidencia de contraseña) pero el daño ya estará hecho: almacenaron su nombre de usuario y contraseña, y ahora puede acceder a su cuenta real de Facebook o usar esas credenciales para intentar ingresar a sus otras cuentas: Gmail, Amazon, PayPal, bancos, etc.
Los lectores entusiastas notarán que el dominio real de esta URL sospechosa es rickytaylk.com y tiene tres subdominios anidados debajo:
comvalidatestep1Facebookmetro
Probablemente lo vería como una URL obviamente fraudulenta si lo encontrara en una PC, pero esto es lo que vería un usuario móvil:
Las URL rellenadas se pueden enviar a través de todo tipo de métodos de comunicación: correo electrónico, mensajes de texto, aplicaciones de mensajería y más.
Lo triste es que las URL falsas no son nada nuevo. A principios de este año, se descubrió un exploit en Chrome (y otros navegadores basados en Chromium) donde las URL podrían modificarse para aparecer como otras URL Afortunadamente, el error fue parcheado antes de que los estafadores pudieran ir a la ciudad con él, pero muestra que confiar en una URL no es más que tonto.
Cómo asegurar su cuenta de Facebook
La única forma de protegerse contra una URL acolchada es aprender a detectar mensajes de phishing y, lo que es más importante, visitar sitios web confidenciales escribiendo dominios directamente en la barra de URL de su navegador.
Es un inconveniente menor, pero vale la pena. Lo hago todo el tiempo, especialmente cuando verifico cuentas bancarias y uso sitios de comercio electrónico. Con el tiempo, será una segunda naturaleza y su tasa de estafas se desplomará.
¿Qué pasa si ya te has enamorado? ¿O qué pasa si alguien, por algún otro medio, obtiene sus credenciales de inicio de sesión de Facebook? Aquí hay algunas cosas adicionales que puede hacer para mantenerse seguro.
Use contraseñas únicas
Uno de los peores errores de contraseña es usar la misma contraseña para todas sus cuentas.
¿Sabes cómo la mayoría de los servicios requieren un correo electrónico para registrarse? Bueno, si eres como la mayoría de las personas, utilizas la misma dirección de correo electrónico para todos los servicios. En ese caso, si alguien descubre su contraseña para uno cuenta, entonces sin darse cuenta tienen acceso a todas de sus cuentas
Al usar una contraseña separada para cada cuenta y nunca repetirlas, puede limitar el daño considerablemente. ¿No crees que puedes mantener todas esas contraseñas en tu cabeza? Comience a usar un administrador de contraseñas como LastPass Las 5 mejores alternativas de LastPass para administrar sus contraseñasMuchas personas consideran que LastPass es el rey de los administradores de contraseñas; está repleto de características y cuenta con más usuarios que cualquiera de sus competidores, ¡pero está lejos de ser la única opción! Lee mas y nunca más tendrás que preocuparte por las contraseñas.
Usar aprobaciones y códigos de inicio de sesión
Quizás lo mejor que puede hacer por su seguridad en Facebook es habilitar la verificación en dos pasos Cómo configurar la autenticación de dos factores en todas sus cuentas socialesVeamos qué plataformas de redes sociales admiten la autenticación de dos factores y cómo puede habilitarla. Lee mas . Con la verificación en dos pasos habilitada, puede agregar capas adicionales de protección con Aprobaciones para ingreso y Generador de códigos.
Con Aprobaciones para ingreso, Facebook envía un mensaje de texto SMS a su teléfono cada vez que alguien intenta iniciar sesión en él. El mensaje de texto contiene un código numérico que debe ingresarse para otorgar acceso. Incluso si alguien tiene su contraseña, no podrán iniciar sesión si tampoco tienen su teléfono.
Generador de códigos es una característica similar que existe en la aplicación móvil de Facebook. La aplicación en sí genera un código que debe ingresarse para iniciar sesión en Facebook desde otro dispositivo. Es una buena alternativa cuando no tienes una conexión a Internet o mensajes de texto SMS.
Use llaves de seguridad U2F
UNA Clave de seguridad U2F Los pros y los contras de los tipos y métodos de autenticación de dos factoresLos métodos de autenticación de dos factores no se crean de la misma manera. Algunos son demostrablemente más seguros y más seguros. Aquí hay un vistazo a los métodos más comunes y cuáles satisfacen mejor sus necesidades individuales. Lee mas es un dispositivo físico que se asemeja a una unidad flash USB. En lugar de vincular la verificación en dos pasos a su teléfono (como con las aprobaciones de inicio de sesión y el generador de código), confirma los inicios de sesión conectando la clave U2F en el dispositivo con el que inicia sesión.
Facebook no es el único sitio que admite U2F; otros incluyen Gmail, YouTube, WordPress, GitHub, y la lista está creciendo, pero deberá usar Chrome u Opera para que funcione.
Thetis U2F Security Key es asequible y puedes obtenerlo en Amazon (solo necesitas una clave por persona), pero hay otras más caras con más funciones. Por ejemplo, el YubiKey NEO admite NFC para que pueda tocarlo (bueno para teléfonos inteligentes y tabletas).
Nota: Tenga cuidado al usar aprobaciones de inicio de sesión, generador de código y claves de seguridad U2F. Si alguna vez pierde su autenticador de segundo paso (es decir, su teléfono o clave U2F), aquí le mostramos cómo recuperar su cuenta de Facebook Cómo recuperar su cuenta de Facebook cuando ya no puede iniciar sesiónLe mostramos cómo recuperar su cuenta de Facebook con cinco opciones probadas de recuperación de cuenta de Facebook. ¡Recupere su cuenta ahora! Lee mas .
Más consejos para evitar estafas en la web
El relleno de URL es solo lo último en historia de fallas e infracciones de Facebook. Para mayor seguridad, sepa qué hacer si tu cuenta de Facebook está pirateada 4 cosas que hacer inmediatamente cuando su cuenta de Facebook fue pirateadaSi sospecha que su cuenta de Facebook ha sido pirateada, esto es lo que debe hacer para averiguar y recuperar el control. Lee mas . El malware también es un gran riesgo, así que mantente al tanto de Prevención y eliminación de malware y virus de Facebook Cómo prevenir y eliminar el malware o virus de FacebookEl malware de Facebook es una amenaza, pero no tiene que preocuparse si sigue este consejo. Aquí se explica cómo evitar el lado desagradable de Facebook. Lee mas .
¿Has encontrado relleno de URL en Facebook? ¿Cómo mantiene segura su cuenta de Facebook? ¡Comparte con nosotros en un comentario a continuación!
Crédito de imagen: Brian A Jackson a través de Shutterstock.com
Joel Lee tiene un B.S. en informática y más de seis años de experiencia profesional en redacción. Es el editor en jefe de MakeUseOf.
