Skip to main content

Estafan por phishing a medio millón de usuarios de Facebook

Person typing
(Image credit: Shutterstock)

Los investigadores de CyberNews han descubierto una nueva campaña de estafa por correo electrónico que ha engañado a medio millón de usuarios d Facebook.

La estafa de phishing "Is that you?" ("eres tú") de supuestos amigos de Facebook comenzó a circular en 2017. Suele comenzar con un mensaje enviado por el amigo falso que afirma haber encontrado un vídeo o una imagen en la que aparece la víctima.

El mensaje aparece como un vídeo falso que, cuando intentas reproducirlo, conduce al usuario a través de una cadena de sitios web infectados con scripts maliciosos. Estos scripts son capaces de determinar la ubicación del usuario, el dispositivo que utiliza y su sistema operativo.

A partir de ahí, los scripts conducen a las víctimas a una página de phishing que pretende ser Facebook. En ese punto, si el usuario pica, recogen sus credenciales de login al Facebook real y, si es posible, infectan el dispositivo del usuario con adware u otro malware.

¿Eres tú?

Aunque la estafa de phishing "Is that you" existe desde hace años, la campaña descubierta por CyberNews comenzó a operar a finales de enero de 2020. Hasta ahora, 480.000 usuarios han sido víctimas del timo, un 77% de ellas alemanas.

Debido a la naturaleza a gran escala de la campaña — y a que parece dirigirse principalmente a usuarios alemanes — el medio de noticias compartió su informe con CERT Alemania, Facebook y el servicio de recorte de URLs wal.ee, que fue utilizado por los gangsters que la pusieron en marcha. Sin embargo, hay que tener cuidado porque puede extenderse en cualquier momento a cualquier otro país.

Los gangsters utilizaron un servicio legítimo de estadísticas web de terceros para rastrear su campaña de phishing. Así es como CyberNews pudo descubrirla en primer lugar y saber cuántos usuarios se habían visto afectados. 

Los usuarios interesados pueden leer el informe aquí, pero el mensaje es claro: nunca abras un link de un correo electrónico. Aunque creas que es legítimo. Mejor ir a la URL real del servicio y mirar allí directamente. No es tan cómodo como pulsar un vínculo, pero te ahorrarás disgustos.