Durante meses, millones de usuarios de Facebook han sido engañados por la misma estafa de phishing que engaña a los usuarios para que entreguen las credenciales de su cuenta.
Según un informe que describe la campaña de phishing, la estafa sigue activa y continúa empujando a las víctimas a una página de inicio de sesión falsa de Facebook donde las víctimas son atraídas a enviar sus credenciales de Facebook. Estimaciones no confirmadas sugieren que casi 10 millones de usuarios fueron víctimas de la estafa, ganando un solo perpetrador detrás de la estratagema de phishing un gran día de pago.
Según un informe publicado por investigadores de PIXM Security, la campaña de phishing comenzó el año pasado y se intensificó en septiembre. Los investigadores creen que millones de usuarios de Facebook fueron expuestos cada mes por la estafa. Los investigadores afirman que la campaña sigue activa.
Facebook no ha respondido a las solicitudes de comentarios para este informe.
PIXM afirma que la campaña está vinculada a una sola persona ubicada en Colombia. La razón por la que PIXM cree que la estafa masiva de Facebook está vinculada a un solo individuo es porque cada mensaje enlaza con código "firmado" con una referencia a un sitio web personal. Los investigadores afirman que el individuo llegó a responder a las preguntas de los investigadores.
Cómo funcionó la estafa
El quid de la campaña de phishing se centra en una página de inicio de sesión falsa de Facebook. Puede que no parezca inmediatamente sospechoso, ya que copia la interfaz de usuario de Facebook de cerca.
Cuando una víctima ingresa sus credenciales y hace clic en "Iniciar sesión", esas credenciales se envían al servidor del atacante. Luego, "de una manera probablemente automatizada", explicaron los autores del informe, "el actor de amenazas iniciaría sesión en esa cuenta y enviaría el enlace a los amigos del usuario a través de Facebook Messenger".
Cualquier amigo que haga clic en el enlace es llevado a la página de inicio de sesión falsa. Si caen en la trampa, el mensaje de robo de credenciales se reenvía a sus amigos.
Después de la credencial, las víctimas son redirigidas a páginas con anuncios, que en muchos casos también incluían encuestas. Cada una de estas páginas genera ingresos por referencia para el atacante, dijeron los investigadores.
Cuando los investigadores se comunicaron con la persona que reclamaba la campaña de phishing, la persona "afirmó ganar $ 150 por cada mil visitas [a la página de salida de publicidad] desde los Estados Unidos".
PIXM estima casi 400 millones de páginas vistas en Estados Unidos de la página de salida. Esto, dijeron los investigadores, "pondría los ingresos proyectados de este actor de amenazas en $ 59 millones desde el cuarto trimestre de 2021 hasta el presente". Sin embargo, los investigadores no creen que el criminal esté siendo honesto sobre sus ganancias, y agregan que "probablemente están exagerando bastante".
Cómo la estafa eludió la seguridad
El perpetrador de esta campaña logró eludir los controles de seguridad de la plataforma de redes sociales utilizando una técnica que Facebook no detectó, dijo PIXM.
Cuando una víctima hace clic en un enlace malicioso en Messenger, el navegador inicia una cadena de redireccionamientos. La primera redirección apunta a un servicio legítimo de "implementación de aplicaciones". "Después de que el usuario haya hecho clic", explicaron los autores del informe, "será redirigido a la página de phishing real. Pero, en términos de lo que aterriza en Facebook, es un enlace generado utilizando un servicio legítimo que Facebook no podría bloquear directamente sin bloquear aplicaciones y enlaces legítimos también".
Incluso si Facebook se dio cuenta y bloqueó cualquiera de estos dominios ilegítimos, "fue trivial (y basado en la velocidad que observamos, probablemente automatizado) activar un nuevo enlace utilizando el mismo servicio, con una nueva identificación única. A menudo observamos varios utilizados en un día, por servicio", dijeron los investigadores.
PIXM dijo que pudo acceder a las propias páginas del hacker para rastrear las campañas. Los datos indicaron que casi 2,8 millones de personas cayeron en la estafa en 2021 y 8,5 millones lo han hecho en lo que va del año.
Los investigadores advierten: "Mientras estos dominios permanezcan sin ser detectados por el uso de servicios legítimos, estas tácticas de phishing continuarán floreciendo".