¡Ten cuidado! Tu información están en riesgo por nuevo ataque en Instagram

Los investigadores de seguridad de Sophos han advertido sobre una nueva campaña de phishing dirigida a los usuarios de Instagram. Y esta es una campaña de phishing con un giro tortuoso. Los atacantes se burlan de lo que pretende parecer autenticación de dos factores (2FA) en un intento de parecer legítimo. Pero obviamente no es 2FA. Es un intento estándar de robar credenciales de inicio de sesión, para acumular nombres de usuario y contraseñas.

Los correos electrónicos iniciales de ataque de phishing incluyen lo que parece un código 2FA. Se le indica al usuario que ingrese el código cuando inicia sesión para probar su identidad. La premisa del ataque es que ha habido un inicio de sesión no autorizado. La advertencia de inicio de sesión, el correo electrónico y, por supuesto, el código 2FA son completamente falsos: el código es solo un giro inteligente para sugerir alguna forma de seguridad. Todo es espurio, pero las personas serán engañadas.

El enlace de correo electrónico lleva a los usuarios a una página de inicio de sesión falsa de Instagram, descrita por Sophos como "mucho más creíble" que muchas de las campañas estándar de phishing por correo electrónico descubiertas. "No nos gusta admitirlo", informa el equipo de investigación, "pero los delincuentes pensaron en esto".

Tecnología

Según expertos, los bots en internet tienen más influencia en la opinión pública de lo que imaginamos

El mensaje y la página de inicio de sesión son "limpios", con solo unos pocos errores de puntuación que apuntan a los peligros que acechan en su interior. Y, por supuesto, una URL que no encaja: "si hace clic, debe detectar la suplantación de identidad del nombre de dominio, casi deletrea 'inicio de sesión', pero no del todo".

Esto es más convincente de lo habitual. Hay un candado HTTPS, que puede proporcionar una falsa sensación de seguridad, aún debe verificar que el sitio web sea correcto. La interfaz está limpia. "La página de phishing en sí misma es un facsímil perfectamente creíble de lo real, y viene completa con un certificado HTTPS válido".

¿Y en cuanto al candado tranquilizador? "Definitivamente, no se puede confiar en un sitio sin candado, pero no se puede confiar automáticamente en un sitio solo porque tiene un candado y se anuncia con correos electrónicos que se escribieron correctamente".

Y aquí está el consejo realmente clave del equipo de Sophos: no necesita seguir un enlace de correo electrónico para iniciar sesión en una aplicación o sitio web que usa todo el tiempo. Acceda a esas aplicaciones y sitios de manera normal y luego siga las instrucciones de las páginas de seguridad. Esas páginas están señalizadas, no son difíciles de encontrar. Pronto sabrá si hay un problema.

Sobre todo, mire el nombre de dominio, la URL, asegúrese de que sea lo que esperaría. No es demasiado difícil detectar una falsificación. Y, aún más críticamente, use el sentido común. ¿Es este el tipo de correo electrónico que esperarías de un sitio de redes sociales? Si no, entonces es casi seguro un ataque de phishing o malware de algún tipo.

Este ataque utiliza un dominio ".CF" de la República Centroafricana. Es barato y fácilmente disponible. Pero una señal de advertencia perfecta. Como regla general, lo mejor es evitar los inicios de sesión inesperados que utilizan dominios de la República Centroafricana.

Los ataques de phishing para robar credenciales de redes sociales se han convertido en una plaga, el intercambio de redes sociales también se ha convertido en un mecanismo de entrega principal para cargas de malware. Ahora hay más de estas campañas que los ataques de phishing de bancos y tarjetas de crédito contra los que ahora estamos tan protegidos, o al menos deberíamos estarlo.

De todos modos, ¿el consejo para los mil millones de usuarios de Instagram? Usa el sentido común. Si recibe correos electrónicos inesperados, asegúrese de ignorarlos y eliminarlos. La aplicación y el sitio web real lo llevarán al lugar correcto si realmente es necesario cambiar una contraseña o confirmar una identidad. Con información de Forbes.