El phishing es una técnica que consiste en la obtención de información sensible como nombres de usuarios y contraseñas logradas a través de la suplantación de la imagen de una conocida compañía proveedora de servicios que simula pedir ese tipo de datos utilizando amenazas verbales diciendo por ejemplo; que si no se ingresa lo solicitado, la cuenta del usuario en cuestión será deshabilitada.

En los ataques de phishing una vez que el cibercriminal ha logrado convencer al usuario, es este quien suministra la información de forma manual, a diferencia de los ataques con malware que puede robar a los mismos este tipo de datos automáticamente.

En el caso que vamos a ver a continuación el blanco elegido por los atacantes no es ni una aerolínea, tarjeta de crédito o un banco, es la conocida red social Twitter, que se caracteriza por su estilo acortado de 140 caracteres y del gran alcance mediático que generan los mensajes que son publicados a través de la misma. Los ciberdelincuentes usando todas esas ventajas están empleando como temática de Ingeniería Social, afirmaciones que apelan directamente a la curiosidad de las potenciales víctimas. Tweets o mensajes en inglés sobre supuestos rumores malintencionados o cosas “muy malas” son entre otros los ganchos utilizados que buscan cautivar a los usuarios para que hagan clic sobre el enlace fraudulento. Para hacer más real el phishing, si el usuario no es precavido y hace clic en el link, estaría ingresando a un sitio web malicioso que le solicita al mismo sus credenciales de acceso a Twitter, utilizando la excusa que esa información es necesaria debido a que ha transcurrido un período largo de inactividad por parte de este y que la sesión ha sido cerrada como medida de seguridad.

Aunque por el momento sólo han detectado mensajes en inglés, lo más probable es que este ataque de phishing sea traducido a otros idiomas como el español con tal de aumentar aún más la cantidad de usuarios afectados.

Realizando un análisis detallado ESET Latinoamérica Laboratorio ha encontrado que al menos 31.000 usuarios de Twitter han sido víctima de este phishing, quedando a merced de los ciberdelincuentes información sensible como nombres de usuarios, correos electrónicos y contraseñas. En este último punto nos detendremos un poco: pese a que el principal error de toda esta situación por parte de los usuarios es la entrega de información personal sensible siguiendo enlaces sospechosos, las contraseñas que escogen los mismos suelen no ser aptas ni lo suficientemente fuertes que debían ser, hecho que pudieron constatar nuevamente. De las 31.000 credenciales robadas, la mayoría están formadas por ocho caracteres, sin embargo, en reiteradas oportunidades observaron que a pesar que la longitud de la claves es relativamente larga, estas pueden ser vulneradas en pocos segundos y además, están formadas por frases fáciles de adivinar como twitter1 o la repetición de una palabra varias veces como es el caso de boysboysboys.

Por todo lo anterior, es importante señalar que la cantidad de caracteres es sólo un elemento de varios a tener en cuenta para crear una contraseña segura. No es suficiente y mucho menos seguro repetir varias veces una misma palabra para formar una contraseña de 10 o más dígitos. Como base para crear contraseñas más seguras, se recomienda seguir buenas prácticas.

Regresando al caso de este phishing en Twitter, también pudieron observar que existen víctimas cuya dirección de correo electrónico incluía dominios como .gov, .edu y .org, lo que demuestra una vez más que la falta de concientización y educación no sólo afecta a los usuarios finales sino también a las grandes empresas y fundaciones, las cuales no implementan un programa educativo que contemple un uso seguro e informativo de las nuevas tecnologías como son las redes sociales. Adicionalmente, al igual que lo que sucede con otros ataques similares, se recomienda a los usuarios de las redes sociales y en general a los usuarios de equipos con acceso a Internet no seguir ningún hipervínculo y mucho menos ingresar información sensible al abrir un enlace.

Otra cuestión también importante es comprobar cuidadosamente la dirección a la cual se está accediendo inspeccionándola visualmente en la barra de direcciones del navegador web. Como forma complementaria se recomienda la lectura de la Guía de seguridad en redes sociales proporcionada por ESET en formato PDF, además de instalar en su equipo una solución de software antivirus con capacidad de detección proactiva para prevenir las actuales y futuras amenazas informáticas.

Fuente: ESET Latinoamérica Laboratorio

Anuncios