La Policía Cibernética advirtió este sábado sobre una nueva estrategia para robo de información, suplantación de identidad y phishing.
Consiste en engañar a la víctima para ingresar sus credenciales de inicio de sesión (email y contraseña) en la plataforma de Facebook enviando dicha información al cibercriminal, permitiendo el acceso a la cuenta y la suplantación de identidad del usuario.
Descripción de la campaña:
El cibercriminal envía un mensaje a usuarios de Google, Microsoft, Facebook, Instagram y/o WhatsApp solicitando el apoyo de un ”like” en una supuesta publicación.
El cibercriminal envía un enlace acortado mediante la plataforma Bitly, los enlaces suelen ser del tipo: https:bit.ly/id.
Al hacer clic en el enlace, el usuario es redireccionado a una supuesta página de Facebook con dominio fabooklatcol-loginID-com.filesusr.com, las URL suelen ser del tipo:
https://fabooklatco-loginptdfaqr9lkrcdza3-com.filesusr.com/
https://fabooklatco-login1ad901_d601ba8-com.filesusr.com/
https://fabooklatcol-loginquieroelpass666-com.filesusr.com/
La información ingresada es enviada al cibercriminal mediante los botones habilitados en el sitio fraudulento.
El cibercriminal roba la información contenida en el perfil de Facebook y suplanta la identidad del usuario para realizar actividades ilícitas en internet.
Usualmente el cibercriminal envía mensajes a la víctima para amenazar, extorsionar o realizar difusión ilícita de imágenes.
Recomendaciones
Es importante que haga caso omiso a mensajes de personas desconocidas.
Verifique la URL al iniciar sesión en Facebook, esta debe ser: https://www.facebook.com
Habilite la autentificación en dos pasos (2FA) de su perfil de Facebook desde Configuración > Seguridad e inicio de sesión > Autenticación en dos pasos.
Cierre las sesiones abiertas que no reconoce dentro de su perfil de Facebook desde Configuración > Seguridad e inicio de sesión > Dónde iniciaste sesión.
No utilice la misma contraseña para sus cuentas en internet como Facebook, Twitter, email, etcétera.
A nivel organizacional, se recomiendan las siguientes acciones.
Bloquear las siguientes dirección IP: 34.102.176.152, 172.67.211.60, 104.18.53.54.
Bloquear los emails con dominio id@domainsbyproxy.com, j@gmail.com.
Bloquear o evitar peticiones de entrada con dominio gpc.media-router.wixstatic.com, media-router.wixstatic.com.
Bloquear o evitar las peticiones de salida a los dominios 108.162.193.191 (kevin.ns.cloudflare.com), 108.162.192.88 (cruz.ns.cloudflare.com), 104.18.56.54 (iframe.parchados.com).
Evitar almacenar cookies de los sitios web.
Se recomienda prestar atención a sitios web que presenten las siguientes características
• Sitio ofuscado con HexDecoder u otro ofuscador.
• Formulario con variables POST como: lsd, jazoest, try_number, idfb, pass, is_smart_lock, detector, entre otros.
• Sitio con variables globales, como: $victima, $llegaron, $uno, $dos, $URLFin, $regreso, entre otros.
Si eres víctima de Suplantación de Identidad, Amenazas, Extorsión o Difusión Ilícita de imagen, denuncia ante la Fiscalía General del Estado de San Luis Potosí: https://apps.fiscaliaslp.gob.mx:8084/#/login.