Desde el día de ayer gracias a reportes de nuestros usuarios pudimos identificar una campaña de propagación de falsos videos con el objetivo de robar credenciales de usuarios en Facebook. Después de analizar las características de la campaña pudimos identificar que esta fue diseñada para tener un alcance bastante amplio, y dado que apenas está empezando su propagación, es posible detener su avance si estamos atentos a las señales de alerta.
Campañas similares las hemos estado viendo a lo largo de este año. De hecho durante el primer semestre vimos como cibercriminales engañaban a los usuarios para propagar malware en Facebook a través de un falso video para adultos que se propagaba etiquetando a contactos de la víctima.
Funcionamiento de la campaña
La forma de propagación de esta campaña no es muy diferente a otras vistas anteriormente, ya que contienen un alto grado de Ingeniería Social para hacerla lo más interesante posible para usuarios desprevenidos.
En este caso partimos de un post en el muro de Facebook que se empezó a propagar utilizando lo que parecía ser un video con una temática que para muchos usuarios podría resultar interesante; pero sin embargo al hacer clic este no reproduce ningún video. En cambio, lleva a otra página web que pide primero compartir este enlace con los contactos en su muro.
Si el usuario comparte este enlace, lo siguiente que hace la campaña es dirigirlo a una nueva ventana donde le pide una nueva autenticación en la red social, pero en un dominio totalmente diferente al de la red social tal como se puede observar en la siguiente imagen:
En este punto, la información ingresada por el usuario en el formulario es robada por el atacante y luego es dirigido a diferentes sitios publicitarios. Si bien pudimos identificar diferentes tipos de videos falsos utilizados en esta campaña todos apuntaban a enviar la información robada al mismo servidor, tal cómo se puede ver en las siguientes imágenes de capturas de tráfico:
Alcance de la campaña
Como lo mencionamos anteriormente, después del análisis de este caso inicial pudimos identificar diferentes temas de videos. De hecho dentro de este sitio web habían seis falsos videos diferentes tal como se observa a continuación:
Algo que resulta importante notar de estos seis falsos videos iniciales, es que todos, al aparecer en el muro de una víctima, presentaban la misma cantidad de reproducciones. Lo cual es una señal adicional al respecto de lo malicioso de esta campaña y el hecho de que es algo diseñado con el objetivo de obtener la mayor cantidad de víctimas posible, dándole a entender a la víctima que es algo que ya han visto muchas personas.
Campaña extendida
Después de analizar el sitio donde se alojaban estos falsos videos, pudimos identificar que todos utilizaban el mismo enlace acortado para apuntar al sitio web donde el atacante trata de robar las credenciales del usuario. Hasta la última vez que analizamos los datos de la campaña, en las últimas horas del 11 de agosto ya habían más de 8000 usuarios que habían hecho clic en el enlace, teniendo en cuenta que la campaña empezó a estar activa a las 9 de la mañana.
Siguiendo con el análisis de la información sobre la propagación de la campaña fue posible identificar cómo la mayor cantidad de usuarios que dieron clic en alguno de estos enlaces estaban en México y Argentina. De hecho la mayoría de los países con mayor cantidad de clic son hispanohablantes, lo cual está de acuerdo a las temáticas utilizadas como Ingeniería Social y especialmente por el hecho de que los títulos de los falsos videos están en castellano.
Tal vez uno de los detalles más importantes acerca del alcance de este tipo de campañas lo pudimos detectar después de ver como eran varios los sitios que apuntaban a la misma página web donde se roban las credenciales:
Si bien el sitio con mayor cantidad de clics, fue el sitio en el cual vimos los primeros seis videos, resulta que hay otros cuatro sitios de características similares que llevan a un usuario desprevenido a robarle sus credenciales:
Cada uno de estos nuevos sitios, con las mismas características de diseño tenía entre cinco y siete falsos videos diferentes con características de ingeniería social muy similares. Es decir que esta campaña contaba con, por lo menos, 30 falsos videos en 5 sitios web diferentes que apuntan al mismo sitio web en el que se roban las credenciales.
Como ya es habitual, es muy importante recordar no seguir enlaces dudosos en las redes sociales, ya que como vimos estas campañas son bastante masivas y suelen utilizar diferentes temáticas de Ingeniería Social para tener una mayor cantidad de víctimas. Recuerden que si estamos atentos a donde hacemos clic es más fácil identificar los engaños en Facebook y darse cuenta que una historia es falsa.