El phishing en las redes sociales es una forma de ciberataque que utiliza sitios de redes sociales en lugar de correos electrónicos. Aunque el canal es diferente, el objetivo es el mismo: engañarlo para que proporcione su información personal o descargue un archivo malicioso.
Las redes sociales son las favoritas de los ciberdelincuentes porque no hay escasez de víctimas. Y debido al entorno de confianza, existe una mina de oro de datos privados que pueden utilizar para lanzar un ataque de seguimiento de suplantación de identidad (spear-phishing).
Así es como lo están haciendo en algunas de las plataformas más populares.
Facebook es la tercera marca más comúnmente suplantada para ataques de phishing. Con más de 2.600 millones de usuarios en todo el mundo, es fácil ver por qué. La plataforma ofrece una gran cantidad de perfiles y mensajes repletos de información personal para que los phishers la exploten.
Los ataques a Facebook suelen estar dirigidos a los consumidores y no tanto a las grandes organizaciones. Los phishers utilizan la ingeniería social para atraer a víctimas desprevenidas a exponer sus datos.
Fingirán ser de Facebook y enviarán correos electrónicos a los usuarios sobre una alerta de seguridad, por ejemplo. A partir de ahí, se indica a los usuarios que inicien sesión en sus perfiles de Facebook y cambien su contraseña. Luego se les envía a una página de inicio de sesión de Facebook falsa donde se recopilan sus credenciales.
Cómo se dirige el phishing a tus amigos
Si obtienen acceso a su cuenta, pueden lanzar una red más amplia victimizando a sus contactos. También pueden usar la información que tus amigos comparten contigo en una campaña de spear-phishing más específica.
Los phishers usarán su cuenta para enviar mensajes o publicar un estado con un enlace malicioso. Y debido a que sus contactos confían en usted, existe una mayor posibilidad de que hagan clic en él.
¿Qué es el pescador de phishing?
Este es un tipo de phishing que usa las redes sociales pero tiene un modus operandi más sofisticado. Se dirigen a los usuarios que publican (en su mayoría, peroratas) sobre un servicio o su cuenta. Los atacantes fingen ser del proveedor de servicios y luego envían al usuario un enlace para ponerse en contacto con un representante de servicio al cliente.
Los estafadores utilizan técnicas de phishing para engañar a las víctimas. Aprenda a detectar ataques de phishing y mantenerse seguro en línea.
Pero lo adivinó: el enlace conduce a un sitio falso para recopilar información.
Lo que solía ser una galería de selfies ahora es un negocio multimillonario utilizado por las marcas e influencers más importantes del mundo.
Al igual que los phishers en Facebook, aquellos que explotan Instagram envían correos electrónicos a los usuarios advirtiéndoles de una alerta de seguridad. Por ejemplo, podría ser un mensaje sobre un intento de inicio de sesión desde un dispositivo desconocido. El correo electrónico tiene un enlace que envía a los usuarios a un sitio falso donde se recopila la información de inicio de sesión.
Una vez que tengan acceso, tendrán una mina de oro de información personal para explotar de diferentes maneras. Un ataque siniestro, por ejemplo, implica chantajearlo a usted oa sus amigos con la amenaza de filtrar fotos que compartiste de forma privada o a través de Instagram Direct Messenger (IGdm) si no cedes en sus demandas.
¿Qué es una estafa por infracción de derechos de autor?
Si los phishers se apoderan de cuentas comerciales, especialmente las verificadas, pueden lanzar campañas de phishing más insidiosas a través de IGdm.
Los usuarios informaron en junio de 2020 de una cuenta verificada para la sucursal de una importante corporación en Chile, por ejemplo, por enviar mensajes de phishing.
El mensaje alertó a los usuarios de una infracción de derechos de autor en una publicación. El resto del mensaje decía: “Si cree que la infracción de los derechos de autor es incorrecta, debe proporcionar comentarios. De lo contrario, su cuenta se cerrará en 24 horas ". El enlace para los comentarios era, por supuesto, una página falsa de Instagram que recopilaba información de inicio de sesión.
¿Qué es una estafa de insignia azul?
Nada se siente tan legítimo como tener ese codiciado cheque azul. Los phishers también se aprovechan de esto.
Una estafa de phishing de Instagram implica enviar a los usuarios un correo electrónico ofreciéndoles una insignia certificada. Una vez que los usuarios hacen clic en el botón "Verificar cuenta", se les dirige a una página de phishing donde se recopila su información personal. La mayoría de las veces, los influencers y los usuarios "famosos de Instagram" son el objetivo de este tipo de ataque.
Revisa nuestra guía sobre cómo ser verificado en Instagram para evitar a esos estafadores.
La plataforma principal de la comunidad empresarial mundial utilizada por más de 700 millones de profesionales es también un objetivo favorito de los phishers.
La gente confía en LinkedIn más que en cualquier otro sitio de redes sociales según un informe de confianza digital. También es más probable que los usuarios publiquen detalles sobre sus trabajos, lo que los convierte en un objetivo principal para los ataques de phishing y caza de ballenas.
Una de las campañas de phishing en las redes sociales más crueles es ataque dirigido a personas que buscan empleo en Linkedin. Los ciberdelincuentes se hacen pasar por reclutadores y se comunican con los usuarios sobre una publicación de trabajo falsa a través de la mensajería de LinkedIn.
Los phishers te atraen diciendo que tu experiencia es perfecta para el rol que están tratando de desempeñar. Harán que esto sea aún más irresistible con un paquete de compensación incrementado.
Verá un enlace que, según el phisher, tiene todos los detalles sobre el trabajo. Alternativamente, pueden enviar un archivo adjunto en Microsoft Word o Adobe PDF para descargar.
Suena emocionante, especialmente para alguien que está buscando empleo. Pero los enlaces lo llevan a una página de destino falsificada y el archivo de Word tiene macros para lanzar malware. Este último podría robar sus datos o abrir una puerta trasera a su sistema.
RELACIONADO: Cómo bloquear a alguien en LinkedIn
Hay dos solicitudes de contacto falsas más comunes. En el primero, los usuarios reciben un correo electrónico que les alerta sobre una solicitud de contacto. Esto viene con un enlace que conduce a una página de inicio de sesión de LinkedIn falsa.
El segundo es más complicado: implica la creación de cuentas falsas y el envío de solicitudes de conexión desde LinkedIn. Una vez aceptas la invitación, los phishers tienen acceso a más información en tu perfil y estar un paso más cerca de todos tus conexiones.
Luego, pueden enviar un mensaje de phishing o usar su información para lanzar ataques más específicos a sus contactos. Siendo tu 1S tEl contacto de grado también les da más credibilidad al hacer que su perfil parezca más legítimo.
Todos tengan cuidado con la información que publican en las redes sociales. Apodos, maestros, colores favoritos, escuelas, fecha de nacimiento, ciudad natal, mascotas son preguntas en una prueba de contraseña olvidada. Sé que las publicaciones en cadena son geniales y todo excepto el phishing es una cosa. A los estafadores les encantan las redes sociales por esto. Cuidate. 🖤
- MELISSA MEDINA 🔜 #IWOCon (@melissamedinavo) 10 de noviembre de 2020
Para protegerse de este tipo de ataques, no haga clic en enlaces dentro de correos electrónicos y mensajes directos. Vuelva a verificar la fuente. Incluso si parece que el mensaje es de alguien en quien confía, existe la posibilidad de que su cuenta se haya visto comprometida.
Primero llame a la persona para asegurarse de que sea real, especialmente si el mensaje contiene archivos adjuntos que se le pide que descargue.
Compruebe siempre la URL de los sitios web que visita. Los hackers producen URL falsificadas cambiando una o más letras de la URL de sitios web conocidos. También pueden usar letras simbólicas para parecerse a las letras originales. Coloca el cursor sobre los enlaces para examinar la URL completa, que debería aparecer en la parte inferior de tu navegador.
Recuerde que la correspondencia oficial de las redes sociales y otras organizaciones nunca vendrá de nadie que utilice direcciones de correo electrónico con nombres de dominio @gmail o @yahoo.
Otros signos reveladores a tener en cuenta son los errores tipográficos y gramaticales o los mensajes que lo apresuran a tomar medidas. Este último está diseñado para causar miedo o pánico, por lo que no tendrá tiempo para pensar.
Si se expone a ataques de phishing en las redes sociales, pone en riesgo a sus amigos y seres queridos, ya que los piratas informáticos pueden usar su cuenta como puerta de entrada para llegar a ellos también.
Afortunadamente, un poco de precaución y sentido común ayudan mucho a protegerse.
Aquí hay varias formas en que su identidad puede ser robada en las redes sociales. ¡Sí, los estafadores pueden robar tu identidad en Facebook!
- Redes sociales
- Seguridad
- Suplantación de identidad
- Estafas
- Seguridad en línea
Loraine ha escrito para revistas, periódicos y sitios web durante 15 años. Tiene una maestría en tecnología de medios aplicada y un gran interés en medios digitales, estudios de redes sociales y ciberseguridad.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.
