Una base de datos Elasticsearch indebidamente configurada y operada por ciberdelincuentes dejó expuestos nombres de usuario y contraseñas de más de 100.000 usuarios de Facebook, permitió descubrir una campaña de engaño a nivel global que apuntaba a usuarios de la red social con el objetivo de robar sus credenciales.
La campaña maliciosa consistía en engañar a los usuarios de Facebook para ingresar a sus cuentas mediante una herramienta que supuestamente revelaba a las víctimas quién había visto su perfil.
Con las credenciales en su poder que se iban almacenando en la base de datos, los cibercriminales realizaban comentarios tipo spam en publicaciones de Facebook desde la cuenta de las víctimas con el objetivo de atraer a más víctimas a distintos sitios maliciosos controlados por los atacantes, explicaron los investigadores de vpnMentor el pasado viernes. Estos sitios web maliciosos a los que dirigían a sus víctimas llevaban en su gran mayoría a una falsa plataforma de trading de Bitcoin en la que buscaban que las víctimas depositen al menos 250 euros.
Lectura relacionada: 5 consejos para mantener seguras tus bases de datos
La base de datos mal configurada que permitió el hallazgo de esta campaña maliciosa se descubrió el pasado 21 de septiembre y se cerró al día siguiente. La misma contenía más de 13 millones de registros pertenecientes a más de 100.000 usuarios de Facebook.
Entre los datos almacenados en esta instancia Elasticsearch, los investigadores descubrieron:
- Nombres de usuario y contraseñas de entre 150.000 y 200.000 cuentas de Facebook, además de direcciones IP.
- Información de identificación personal (PII) de víctimas, como dirección de correo, nombres, o números de teléfono.
- Textos utilizados por los estafadores al momento de publicar comentarios en las cuentas comprometidas para dirigir a las víctimas a sitios maliciosos
Si bien no se sabe exactamente cómo llegan las víctimas a estos falsos sitios que prometen revelar quienes visitaron su perfil de Facebook, los investigadores encontraron 29 dominios que forman parte de una red de sitios utilizados con este fin. Estos sitios incluían, por ejemplo, mensajes como “Tu perfil recibió 32 visitas en los últimos dos días. Continúa para ver la lista.” Luego, si la víctima hace clic en un botón que dice “abrir la lista” será dirigida a una falsa página de inicio de sesión de Facebook y se solicitará que ingrese sus credenciales de acceso a la plataforma.
Una vez ingresadas, las credenciales son almacenadas en la base de datos controlada por los atacantes para luego comenzar con la otra fase de la campaña maliciosa: los comentarios en las cuentas de las víctimas que contienen enlaces a sitios que forman parte de un esquema fraudulento operado por los cibercriminales.
Estos sitios dirigían a las víctimas a distintos tipos de páginas de dudosa reputación y algunas legítimas. El mix de sitios era una estrategia para evadir los mecanismos de detección y evitar ser bloqueados, pero según los investigadores, el principal objetivo era dirigir a las víctimas a sitios en los que se invitaba a los usuarios a registrarse para acceder a una cuenta gratuita de trading de Bitcoin y depositar 250 euros para comenzar. En caso de realizar el depósito, el dinero va a parar a manos de los cibercriminales.
Como conclusión, se recomienda cambiar la contraseña en caso de creer que pueden haber sido víctimas de este engaño o de un esquema similar donde hayan ingresado sus credenciales de acceso en un sitio sospechoso. Por otra parte, también se recomienda cambiar la contraseña en todos los servicios donde se haya utilizado la misma clave. De paso, aprovechamos para recomendar a los usuarios no utilizar la misma contraseña en más de un servicio. Para evitar dolores de cabeza teniendo que recordar cada una de las contraseñas utilizadas en cada cuentas o servicios, recomendamos utilizar un gestor de contraseñas. Por último, no ingresar información personal en sitios de dudosa reputación.