sábado, marzo 26, 2022

La alerta de Facebook Protect por e-mail, ¿es un spear phishing o no?

Esta semana he recibido un correo de Facebook para avisarme de que tenía hasta el 9 de Abril para activar Facebook Protect o me podían bloquear la cuenta. Y como os podéis imaginar, me saltaron todas las alertas, ya que cumple las dos premisas de todo buen Spear Phishing, como el que usamos para robar tokens OAuth en Sappo.

Figura 1: La alerta de Facebook Protect por e-mail,
¿es un spear phishing o no?

La primera premisa, y más evidente, lógicamente, es que viene un correo electrónico desde FacebookMail dirigido hacia a mí, y el segundo, el motivo de urgencia que busca una acción de un usuario. Así que, orejas de punta y a ver si era de verdad o alguien me estaba intentando jugar una mala pasada.

Figura 2: El correo de Facebook Protect

Por supuesto, regla número uno, no hacer clic en el botón gordo de "Turn ON Facebook Protect", y revisar el código fuente de todo el correo electrónico, pero sin tocar absolutamente nada de ello. Al final, si es legítimo, tengo que activar algo de seguridad, así que más vale estar seguro de que sea legítimo y para qué. Y mirando el código fuente, todo parecía normal, pero... ni de broma hago yo clic en un enlace que me llegue así por e-mail.

Figura 3: Asistente de Facebook Protect

Lo siguiente, buscar información de Facebook Protect en la web de Facebook - que se configura en la parte de Configuración, Security & Login  para ver qué es y si tengo que configurar o instalar algo o no, que es raro porque yo tengo mis identidades en redes sociales bien revisadas, para estar protegido de los peligros en Internet.

Figura 4: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Lo curioso es que al final busca, principalmente, que se configure el Segundo Factor de Autenticación, algo que yo tengo desde hace mucho tiempo, que tengas una contraseña compleja, que tengas la cuenta de correo asociada controlada (y con un 2FA con Latch Cloud TOTP también en mi caso), y que tengas activadas las alertas.

Figura 5: Revisión de Facebook Protect de mi cuenta

Yo tenía todo activado y configurado, pero leyendo por Internet, parece que es una campaña de Facebook para proteger las cuentas con muchos seguidores para evitar que sea usadas para amplificar posibles ataques si estás son comprometidas. Lo curioso es que al mirar en las opciones de configuración, aparecía Facebook Protect como desactivado. Así que, como era una opción de seguridad dentro de mi cuenta de Facebook, comencé el proceso de activación como habéis visto en las figuras anteriores.

Figura 6: Pues parece que todo hecho, ya.

Así que, la activación de Facebook Protect quedó hecha con que solo pasara por el asistente, porque como habéis visto, revisa cosas que yo tenía ya bien configuradas. La pregunta es, ¿por qué me obliga a hacer este proceso si ya lo tengo bien hecho? Al menos, ahora, sí que aparece que tengo Facebook Protect activado.

Figura 7: Facebook Protect is ON

Acabado este proceso, queda pasar por la opción recomendada de "Important Security Settings", a ver si hay algo más que tuviera que configurar y no lo tuviera. Así que, nada, ya que estamos, a hacer otro proceso de seguridad.

Figura 8: Tres opciones de seguridad a revisar

Como se aprecia en la Figura 7, hay que mirar tres opciones de seguridad. 1) Que la password sea "robusta" 2) Que esté el activado el 2FA y 3) Que estén activadas las alertas de Login. Pues nada, a continuar.

Figura 9: Fácil de recordar y difícil de adivinar. Buena clave,

Y poco más, que todo lo tengo como debía de tenerlo. Así que a la pantalla final con todo en azul, como manda el asistente.

Figura 10: Todo ok.

Al final, lo que más me llamó la atención del correo electrónico es que me pedía que hiciera una revisión de seguridad que ya tengo hecha, y además con una fecha límite para hacerlo. Aunque en mi caso fuera un correo legítimo (es cierto que aparecía Facebook Protect como desactivado al principio a pesar de tener todo bien), esta alerta puede ser clonada y utilizada para ataques de phishing personalizados por ser un servicio de verdad, y por tener un motivo de alerta y preocupación para el usuario, como lo que contaba tiempo atrás con las alertas de Apple ID.

Conclusión

En mi caso era un correo legítimo, pero si lo recibes, no hagas clic. Ve a la web de Facebook y revisa manualmente las opciones. Hay herramientas como Social Phish para hacer justo este tipo de ataques de phishing clonando estas alertas, que combinado con el uso de otras herramientas del tipo de ShellPhishSocial Box,  son la forma más sencilla de que te roben una cuenta de Facebook sin 2FA.

Figura 11: ShellPhish v1.7

Así que, mucho cuidado siempre, que estos correos legítimos son los que mejor funcionan para el robo de identidades en redes sociales, así que no bajes la guardia nunca.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Publicar un comentario