El derecho de autor de Instagram ha sido un argumento recurrente para el engaño. Hace ya dos años detectamos este ardid y la novedad es que en lugar de desaparecer o perder presencia, es cada vez más frecuente, más creíble y con mejor factura con la dificultad de identificar a sus autores y detenerlos. El objetivo es tomar el control de tu cuenta, pedirte un rescate y alternativamente suplantando tu identidad estafar a tus seguidores y contactos.

Suplantan la identidad de Instagram y clonan su página web, estética y comunicaciones, intentan convencerte que hay una queja en tu contra y en simultáneo te envían un mensaje con un formulario de descargo a través de un link, los delincuentes saben que la denuncia es totalmente falsa y saben que vos también sabes que es falsa y que tu motivación tiene que ver con lo injusto del reclamo y por lo tanto la probabilidad de que caigas en la estratagema es alta, definitivamente el formulario de descargo, es el instrumento para que entregues tus credenciales de acceso. Pero ahora “el método” ha evolucionado y se aplica con variantes.

Chatbots de Messenger utilizados para robar cuentas de Facebook

Un nuevo ataque de phishing está utilizando los chatbots de Facebook Messenger para hacerse pasar por el equipo de soporte y robar las credenciales de acceso que se usan para administrar las páginas de Facebook. Estos son programas que se hacen pasar por personas de soporte en vivo y se usan comúnmente para brindar respuestas a preguntas simples o clasificar casos de soporte al cliente antes de que se entreguen a un empleado en vivo. Usan chatbots para robar las credenciales de los administradores de las páginas de Facebook, comúnmente utilizadas por las empresas para brindar soporte o promocionar sus servicios.

El ataque de phishing comienza con un correo electrónico que informa al destinatario que su página de Facebook ha violado los Estándares de la comunidad, dándole 48 horas para apelar la decisión, o su página será eliminada.

El chatbot enviará a la víctima un botón “Apelar ahora” en Messenger, que lleva a las víctimas a un sitio web disfrazado de “Bandeja de entrada de soporte de Facebook”, pero la URL no es parte del dominio de Facebook. Además, el número de caso en esa página no coincide con el que presentó el chatbot anteriormente, pero es poco probable que esos detalles expongan el fraude a los usuarios en pánico.

La página principal de phishing, que se muestra a continuación, solicita a los usuarios que desean apelar la decisión de eliminación de la página que ingresen su dirección de correo electrónico, nombre completo, nombre de la página y número de teléfono. Después de ingresar estos datos en los campos y presionar el botón “Enviar”, aparece una ventana emergente solicitando la contraseña de la cuenta. Después de eso, toda la información se envía a la base de datos del delincuente, quienes utilizan cada vez más los chatbots en los ataques de phishing para automatizar el robo de credenciales y aumentar el volumen de sus operaciones sin gastar recursos o tiempo considerables.

Emails falsos de reclamo de derechos de autor instalan el ransomware lockbit

Si bien el uso de reclamos de violación de derechos de autor, no es novedoso ni exclusivo de LockBit, ya que muchas campañas de distribución de malware usan el mismo señuelo. LockBit está utilizando esta técnica para que las personas infecten sus dispositivos, se advierte a los destinatarios de estos correos electrónicos sobre una violación de derechos de autor, supuestamente por haber utilizado archivos multimedia sin la licencia del creador. Estos correos electrónicos exigen que el destinatario elimine el contenido de sus sitios web o enfrentará acciones legales. Le dicen al destinatario que descargue y abra el archivo adjunto para ver el contenido de la infracción.

El archivo adjunto es un archivo ZIP protegido con contraseña que contiene un archivo comprimido, que a su vez tiene un ejecutable disfrazado de documento PDF, pero en realidad es un instalador de NSIS. El motivo de este envoltorio y protección con contraseña es evadir la detección de las herramientas de seguridad del correo electrónico.

Si la víctima abre el supuesto “PDF” para saber qué imágenes se están utilizando ilegalmente, el malware cargará y encriptará el dispositivo con el ransomware LockBit 2.0. LockBit 2.0 representó el 40 % de todos los (236) ataques de ransomware informados en el mes, 95 víctimas solo en mayo, mientras que Conti, BlackBasta, Hive y BlackCat colectivamente tuvieron 65. LockBit 2.0 estuvo a la cabeza de las operaciones de ransomware más prolíficas en el cuarto trimestre de 2021 y se consolida.

Estos tipos de engaños y estafas son más difíciles de detectar, ya que muchos sitios utilizan IA y chatbots como parte de sus páginas de soporte, lo que hace que parezcan normales cuando se encuentran al abrir casos de soporte.

Como siempre, la mejor línea de defensa contra los ataques de phishing es analizar las URL de las páginas que solicitan credenciales de inicio de sesión y, si los dominios no coinciden con la URL normal del sitio legítimo, no ingrese ninguna credencial en ese sitio.