Ayer me entró un mensaje que pretendía ser de una cuenta de Instagram para denunciar contenido con Copyright en forma de Direct Messages. Yo tengo una extensión del navegador para poner una respuesta automática periódicamente a todos los mensajes, pero de vez en cuando veo alguno de ellos. Y este me llamó la atención.
Me llamó la atención, porque en los últimos meses he recibido en mi cuenta de MyPublicInbox varias peticiones de personas que habían sufrido el robo de su cuenta de Instagram, así que le eché un ojito a esta cuenta en concreto.
El mensaje, como veis, tiene toda la pinta de ser una estafa, y si miras la cuenta de desde donde viene, lo único que han hecho es copiar el logo de Instagram, poner en la descripción el enlace a la URL original de Instagram donde explican su política de Copyright, y solo siguen a una cuenta - para dar sensación de autenticidad - que es la oficial de Instagram.
Cuando te vas a ver la dirección a la que apunta el sitio, se ve a la primera que s una Phishing de libro, así que desde una Kali Linux y usando una VM con Firefox jugué a ver qué hacía - no fuera a enviar un exploit o malware -, y se ve que solo eso, robar cuentas.
Cuando introduces el usuario, te pide la contraseña de la cuenta. De libro. Pero además, para llevarse todo lo necesario para quitarte la cuenta de libro, te piden el correo electrónico y su contraseña, una vez que ya se han llevado tu usuario y contraseña de Instagram. Si se lo das, bonus track.
El formulario es un PHP cutre que no controla ni los Ataques Client-Side XSS con lo que es probable que los datos robados estén en un fichero TXT en el servidor y listo. De usar y tirar, porque no van a durar mucho en pie.
Como me topé yo con él, lo reporté al equipo de seguridad de ElevenPaths para que haga el takedown y cierre de la URL en el servicio de Conexión Segura inmediatamente, para que si eres cliente de Movistar puedas estar protegido desde ese instante si lo has activado, que es gratis.
Figura 7: Comunicación con el Global Cyber Security Incident Response Team |
Por supuesto, también reporté ese usuario a Instagram para que tumbe la cuenta falsa cuanto antes, pero ten cuidado y avisa a los amigos y familiares, porque volverán a aparecer como setas, que ya has visto lo que se gastan en infraestructura. Nada y menos.
Yo he creado este post para avisaros a todos por todas las redes sociales que uso como canal de comunicación, pero además también publiqué un aviso en mi cuenta de Instagram, que cualquier información para la gente menos tecnológica es siempre buena.
Si quieres aprender cómo protegerse lo más fuerte posible contra todo este tipo de amenazas, te recomiendo que leas el libro de Cómo protegerse de los peligros en Internet de José Carlos Gallego.
Figura 10: Libro de "Cómo protegerse de los peligros en Internet" de 0xWord |
Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Estuve investigando este tema un tiempo por el robo de cuenta de una persona conocida, y todo me llevo a un grupo llamado turkhackteam, despues del robo de cuentas proceden a extorsion por medio de whatsapp desde numeros en turquia, en los foros del turkhackteam explican como mantener la cuenta un tiempo, despues borrar todas las publicacione y comercializarla.
ResponderEliminarGracias por compartir esta información, en mi país a un amigo trataron de robarle con una página web parecida a la del banco al cual estaba afiliado.
ResponderEliminarMagnífico aporte Chema
ResponderEliminarMalignas gracias.
cada vez que veo su blog, me viene a la mente una pregunta: google cierra sus servicios sin previo aviso (Wave, Notebook, Plus, AngularJS, JWT) y no creo que Blogger genere utilidades ... usted por que lo usa en lugar de otra plataforma? que haria si lo cierran?
ResponderEliminar