Alerta: utilizan Facebook para secuestros express de datos y pedidos de rescate

17 de Agosto de 2013
Nota: iprofesional.com

En las últimas semanas recrudeció la distribución masiva de mensajes atribuidos a la mayor red social basada en la web, para pedir datos como el nombre de usuario y la contraseña. Algunos de estos correos tienen fines extorsivos. Ya hay casos en la Argentina.


Facebook es la mayor red social del mundo, con 350 millones de usuarios, de los cuales 5 millones están en la Argentina. Un mercado muy atractivo para los delincuentes informáticos, que intensifican sus actividades que fusionan tecnologías y la ingeniería social para llegar a un botín tentador: los datos privados de los participantes de estos espacios.

Una variante de estas prácticas delictivas es el secuestro de cuentas de Facebook con fines extorsivos. Según informaron consultores de seguridad informática argentinos sondeados por iProfesional.com, se trata de una actividad que va en aumento.

Ante el incremento de la cantidad de usuarios de esta red social, los ladrones cibernéticos apuntan a esa masa de datos personales, como nombres de cuentas y contraseñas, tanto de los perfiles de esta red social como de la banca electrónica (puede leer más sobre este tema en la nota relacionada al final de este informe, donde también encontrará consejos para prevenirse ante estos robos y secuestros).

Los delincuentes comenzaron a aprovechar esta semana los cambios que la compañía estadounidense anunció el miércoles pasado en sus opciones de privacidad, que permiten limitar quién puede ver la información publicada en el perfil personal, pero también abrirlo a una audiencia global.

En los últimos días, usuarios argentinos de Facebook recibieron e-mails en sus casillas, en algunos casos con un archivo adjunto. Aquí, una captura de pantalla de uno de esos mensajes, remitido por un lector de iProfesional.com.


¿Qué significan estos mails? ¿Quiénes los envían? ¿Hackers, delincuentes informáticos? "Los correos que simulan provenir de organizaciones de confianza como entidades financieras, bancos o, en este caso, de redes sociales son enviados por quienes buscan engañar a los usuarios", explicó a iProfesional.com Cristian Borghello, director del portal de seguridad informática Segu-Info

"En el caso de que el correo tenga un adjunto, lo que se busca es que el usuario abra el archivo y el mismo será generalmente un malware (virus o código maliciosos) que infectará su sistema. En cualquier caso, posteriormente, el delincuente terminará obteniendo información privada del usuario (contraseñas, números de tarjeta, PIN, etc.), para realizar algún tipo de fraude o estafa", agregó.

Roberto Langdon, presidente y CEO de la empresa 2Minds Servicios Informáticos, advirtió ante la consulta de iProfesional.com que "estos correos son la clara evidencia de intento de robo de información, para usurpar identidad digital y poder realizar luego fraudes económicos. El archivo adjunto normalmente es un malware que toma control del equipo, para diversos propósitos, todos negativos para la víctima".

Este especialista señaló que estos mensajes son enviados por "criminales informáticos, organizaciones delictivas con el objetivo de recolectar datos, para luego poder venderlos en el mercado de la delincuencia informática, o bien para usarlos ellos directamente".

El anzuelo contenido en el mensaje del e-mail es tentador para la víctima: "A través de algún engaño, como una promesa de un premio fabuloso, amenazas de cierres de cuenta de correo o bancarias, información sobre menores enfermos o catástrofes, etc., se solicita información privada del usuario y si éste comete el error de responder y brindar esta información, ésta será utilizada con fines ilícitos", dijo Borghello. 

 
¿Qué pasa si el usuario de Facebook responde afirmativamente a lo pedido en el e-mail? Langdon explicó que el archivo adjunto, en caso de abrirse, intentará infectar el equipo, para:
  • Buscar información filiatoria de la víctima, para usurpar su identidad digital en aquellos sitios donde la víctima accede usualmente.
  • Sumar a la PC del usuario a una red de bots (computadoras zombies) para reclutarse a una cantidad de equipos "robots" que luego dirigirán ataques contra sitios gubernamentales, o de seguridad, o de bancos, etc. Las bots son redes compuestas por PC capturadas de diversos países, con direcciones IP muy disímiles, lo que genera un problema para el organismo atacado para poder rápidamente aplicar reglas que rechacen esos accesos.
  • Obtener datos de usuario, claves y tarjetas de créditos para realizar compras por Internet.
  • Usurpar la identidad de la víctima para conseguir información de sus propios contactos y repetir el ciclo.
Pero además de estas consecuencias, existe la variante del secuestro virtual de la víctima. "El caso más común es el robo de usuario y contraseña a través de ataques de phishing", señaló Borghello (en la foto, a la derecha), como duplicar un sitio web de confianza como Facebook para que la víctima cargue los datos, y posteriormente se ingresará a la cuenta del usuario, ya sea de correo electrónico, red social o mensajería instantánea. 

"Se puede utilizar esa información para extorsionar a la víctima a cambio de dinero o de amenazas de la publicación de información privada", dijo el director de Segu-Info.

Langdon agregó que "estos datos son parte de los objetivos que se buscan en estos ataques. 

Generalmente sólo piden rescate si como parte de dicho ataque, encriptan el disco duro o parte del mismo, para luego sí pedirlo para enviar la clave de descifrado. De hecho existen virus llamados genéricamente ‘ramsonware’ que realizan justamente esta acción. Hace poco tiempo fueron robadas cientos de miles de cuentas de Facebook".

Claudio Pasik, director de la empresa de seguridad informática Nextvision (en la izquierda, en la foto), explicó a iProfesional.com que algunos de los mails que lectores de este medio remitieron para este informe corresponden a "un virus tradicional, pero cuyos autores utilizan el auge de las redes sociales, como en este caso Facebook, para que los usuarios caigan en la trampa y abran el archivo ejecutable adjunto, que es el que contiene el virus".

"El auge de la utilización de Facebook favorece su propagación, porque es muy factible que gran parte de los que reciban este mail, tengan cuenta en dicha red social, y por supuesto, son los usuarios más desprevenidos", señaló Pasik, quien aclaró que "el virus no está diseñado para capturar passwords (claves). Sí para provocar inconvenientes en el equipo donde se ejecuta".

¿Ya ocurren en la Argentina situaciones de secuestros, tanto de cuentas de Facebook como de datos? "Hubieron casos de ejecutivos de nuestro país que lo sufrieron. Al no poder acceder al archivo, que generalmente es una base de datos muy importante para la persona, la víctima accede al pedido y envía en dinero para el rescate del archivo a través de Western Union o similar para que no queden rastros de la operación en el sistema financiero. El delincuente informático libera el archivo o envía la nueva contraseña apenas cobra el dinero", precisó Daniel Monastersky, CEO del sitio Identidad Robada.

"En Segu-Info recibimos un promedio de 3 denuncias semanales de personas en situación de que han perdido su información de acceso a la cuenta y alguien los presiona para pagar dinero a cambio de que no se publique la información robada", respondió Borghello. Aquí, una captura de pantalla con un caso típico de estas consultas, referido a la red social MySpace:

¿Cómo el usuario de Facebook puede detectar que estos mails falsos no los envía esta red u otra similar? Según Borghello, se debe prestar especial atención a ciertos detalles:

  • El origen del correo: si bien puede ser falsificado, es importante descartar este punto inicialmente.
  • El destinatario: "verificar que en el destino sólo figure nuestra dirección de correo. Si figuran muchas direcciones es un dato para pensar que el correo ha sido enviado por delincuentes masivamente".
  • El idioma en que está escrito el mensaje: "Si hablamos español tiene poco sentido que recibamos un correo en portugués o inglés".
  • Las empresas nunca solicitan información sensible, por ninguna razón, por lo que si llega un correo de este tipo es falso.
  • Si el correo tiene adjunto y dice provenir de una empresa es seguramente falso.



Pasik agregó que no se debe "ejecutar nada que venga adjunto a un e-mail que sea ejecutable (.EXE, .COM, .BAT, .SCR, .ZIP) ni siquiera que venga de un conocido, ya que puede tratarse de un e-mail enviado automáticamente por un virus". En relación a los mensajes de cambio de password (clave), el director de Nextvision advirtió que "nunca se debe hacer caso a pedidos de este tipo que vengan por e-mail. En general, se utilizan para obtener nombres de usuario/contraseña en actividades de phishing, o como en este caso, tienen como objetivo la infección de un virus".

ExpansiónEstas prácticas delictivas son comunes desde hace años, pero los delincuentes encuentran nuevas metodologías para engañar a los usuarios. La masividad de redes sociales como Facebook y la penetración cada vez mayor de Internet, "permite que haya más casos de este tipo de correos y también mayor cantidad de personas afectadas", advirtió este especialista. 

Por ejemplo, cualquier evento de alcance internacional (como el Mundial de Fútbol Sudáfrica 2010 o el cambio de políticas de privacidad de Facebook de esta semana) "es suficiente para crear este tipo de correos y que haya miles de afectados en todo el mundo por lo que no cabe duda que la tendencia seguirá en aumento debido a la cantidad de dinero que ganan los delincuentes con estas prácticas", concluyó Borghello.

Langdon (en la foto, a la izquierda) coincidió, pero también apuntó como factor de crecimiento de estos delitos a "la actitud de la gente", que "está en crisis por los acontecimientos que vivimos a nivel global mundialmente, y eso hace que las ‘defensas’ y los ‘sentidos’ de las personas no estén ágiles, y siempre alguno cae en la trampa".

El presidente de 2Minds admitió que "todavía existe mucha ignorancia y negligencia para hacer un buen uso de la tecnología. Todo esto para los delincuentes es una fiesta, porque pueden cometer sus delitos sin tener que salir de su casa. Como la seguridad informática es un poco intangible frente a la seguridad física, cuesta que la gente entienda más rápido a los expuestos a que está sujeto, y la manera de protegerse, que no sólo sea en base a herramientas --vital para estos casos disponer de antivirus legítimo y actualizado, antispyware, firewall personal y sistema de prevención de intrusos personal. Estas soluciones pueden bloquear la ejecución del malware en tiempo real--, sino también, a una situación de criterio y actitud personal".

"Lamentablemente los autores de estos delitos informáticos están migrando a este tipo de servicios para poder obtener información personal. Como recomendación general: limitar los datos personales que ingresamos en las redes sociales y tomarse el tiempo para configurar muy bien las opciones de privacidad", afirmó Monastersky.

 
Cambios privadosLa medida que anunció Facebook, introducida a través de una ventana que aparece al tratar de iniciar sesión en la red social, es un primer paso para abrir parte del sitio web, accesible por ahora solo a los usuarios registrados, a una audiencia más amplia dentro de Internet.

El interés creciente de buscadores de Google y Microsoft por incorporar a sus resultados el contenido generado en Facebook llevó a la red social a animar a sus usuarios para que decidan quién puede ver su información con base en su contenido, a la razón por la que se comparte y la audiencia a la que se desea llegar.

"Queremos responder a las demandas de la gente que quiere compartir su información de maneras diferentes", dijo en un comunicado Elliot Schrage, vicepresidente del departamento de comunicación de la red social.

Para ello, Facebook creó una nueva herramienta, llamada "control de privacidad de la edición", que facilita a los usuarios configurar la magnitud de la red con la que quieren compartir cada uno de los contenidos que publican en el mismo momento de hacerlo.

Con el objetivo de simplificar ese proceso, la red social suprime también sus redes regionales, que cubren una ciudad o un país entero y que cuentan, en muchos casos, con millones de miembros.

En su lugar, Facebook ofrece cuatro opciones de redes con las que compartir cada contenido: "Amigos", "Amigos de amigos", "Todos" y "Personalizar".

Así, los usuarios podrán compartir un determinado elemento con sus amigos personales, pero no con sus compañeros de trabajo o, incluso, seleccionar uno a uno los usuarios que podrán verlo.

Además, la página de configuración de seguridad presenta un aspecto diferente, "más intuitivo", a raíz de las quejas de usuarios preocupados por la privacidad.

Los responsables de la red social subrayaron que estos cambios no significan que vaya a ofrecer el contenido publicado a terceros, como sostienen muchos de sus detractores.

"Facebook nunca ha compartido información personal con anunciantes, excepto bajo la dirección y control de un usuario. Estas nuevas herramientas no alteran esa política o práctica", asegura el comunicado.

La compañía también pretende enseñar a sus usuarios a utilizar la red social "de forma responsable", reconociendo que "ellos pueden considerar sensibles ciertas informaciones".

Por ejemplo, cuando se desee añadir su número de teléfono al apartado de información personal, se encontrará con un mensaje que le recomendará restringir esa información a un círculo pequeño.

La red social limita la visibilidad del contenido creado por los usuarios menores de 18 años, que no pueden acceder a la opción de poner el contenido a disposición de toda la red, y cuyo círculo más amplio serán sus amigos o los amigos de sus amigos.

Pero Facebook no garantiza totalmente la seguridad mientras se navega por su sitio. "Hacemos todo lo posible para mantener Facebook seguro, pero no podemos garantizar la seguridad". Así está expresado en la sección de condiciones de uso y términos del sitio, en esa letra pequeña que pocas personas se molestan en leer. Los usuarios, como miembros, son responsables también de su seguridad.

Cuando se detecta una actividad criminal en una cuenta, esta red social busca patrones similares en otras y o bien se borran los correos infectados, o se "resetean" las contraseñas de las cuentas comprometidas.

Una de las amenazas más importantes en los últimos tiempos es Koobface. Los atacantes entran en las cuentas de los usuarios como si fueran sus amigos y les envían direcciones 'spam' que al pinchar en ellas re-dirigen a sitios que roban la información personal y extienden virus.

 
Campo minadoUna reciente encuesta de la empresa de seguridad informática Sophos entre los usuarios de Facebook comprobó por qué es tan tentadora esta red para los delincuentes. Como parte de la investigación, se envío una solicitud de amistad a través de la plataforma, la cual fue aceptada por entre un 41% y un 46% pese a ser proveniente de fuente desconocida.

Además, Sophos pudo tener acceso completo a los datos privados de un 89% de los usuarios que lo incluyeron como "amigo", extrayendo información como fecha de nacimiento, direcciones de correo electrónico o trayectoria académica.

Aproximadamente la mitad de los internautas que aceptó a Sophos revela información respecto a la ciudad o barrio en donde vive y sobre su familia o amigos.

La firma de seguridad descubrió que los usuarios más jóvenes son los más "liberales" a la hora de facilitar información respecto a la escuela o el trabajo. "Ambos grupos de edad proporcionaban información sobre sus direcciones de e-mail y cumpleaños muy fácilmente. Esto es preocupante porque estos detalles suponen un punto de partida excelente para los estafadores", señalaron.

"Hace diez años para tener acceso a estos datos habría sido necesario recurrir a algún investigador. Desafortunadamente, hoy muchos usuarios de redes sociales ponen la historia de sus vidas en bandeja a los criminales", advirtió el estudio.

Enlace:
http://www.iprofesional.com/notas/91495-Alerta-utilizan-Facebook-para-secuestros-express-de-datos-y-pedidos-de-rescate-