De a poco, Instagram se fue convirtiendo en la red social preferida por los internautas más modernos, ansiosos por compartir fotos de lo que están haciendo, sus comidas, y cómo no, los cafés que toman en Starbucks. Y los cibercriminales, nuevamente, divisaron la oportunidad en este comportamiento: un nuevo scam ha sido detectado en una falsa cuenta de Instagram de Starbucks, que recolecta información de los usuarios.
Como Instagram todavía no ha sufrido demasiados accidentes en lo que refiere a seguridad, es posible que los atacantes la consideren un buen escenario para propagar amenazas, por lo que no debería sorprendernos, a futuro, ver nuevos casos de engaños en la red social para compartir fotos.
Según informa Zerofox, una cuenta no oficial que simulaba representar a la gran cadena de cafés llegó rápidamente a tener miles de seguidores, y utilizaba fotos de la cuenta legítima para hacer creíble el engaño. En su descripción, indicaba:
¡Los primeros 35 mil seguidores merecerán una gift card por $35! ¡Te enviaremos por DM la información! Espera por al menos 2-3 días. Menciónanos para obtener tu regalo.
Pueden verlo en esta captura publicada por Zerofox:
No es la primera vez que se encuentran falsas cuentas de Starbucks en Instagram, ni tampoco es la primera marca a la que le sucede.
Según los investigadores, no está del todo claro si estas cuentas falsas son parte de una botnet, o si se trata de scams individuales. Con frecuencia, incluyen enlaces a otras cuentas no legítimas, con el objetivo de que el usuario caiga en más engaños. Sin ir más lejos, este caso en particular de Starbucks, dirigía en cierto punto a una cuenta con un scam dirigido a fanáticos del fútbol y de la FIFA.
Ahora bien, ¿qué uso podría tener este tipo de engaño?
Posiblemente, el supuesto mensaje directo en el que se pasará el código de la tarjeta de descuento incluya enlaces a sitios de phishing o a descargas de aplicaciones infectadas con malware. De esta forma, los usuarios podrían terminar entregando su información personal.
Tal como explica Sebastián Bortnik, Gerente de Investigación y Tecnología de ESET Latinoamérica, las cuentas maliciosas en redes sociales son a menudo utilizadas para el envío de spam o propagación de códigos maliciosos. Pero, ¿cómo detectarlas?
Por tal motivo, en primer lugar, es necesario leer el contenido de los mensajes directos recibidos e identificar de qué se trata: si de una publicidad no deseada (spam) o, más peligroso aún, de ataques de phishing o la distribución de códigos maliciosos. En este último caso, por lo general el mensaje se compone de una frase llamativa (utilizando alguna técnica de Ingeniería Social) y un enlace a un sitio malicioso que infectará al usuario.
Una vez detectado el mensaje como malicioso, no se debe hacer clic sobre el enlace, ya que la víctima puede infectarse por el solo hecho de visitar el destino. Posteriormente, es necesario verificar el perfil del usuario en la red social; algunas de las características que pueden ayudar a identificar una cuenta falsa son:
- Posee pocos seguidores
- Sigue a muchas cuentas
- Las publicaciones poseen enlaces
Por otro lado, estos perfiles falsos también a menudo son utilizados para recolectar una gran cantidad de seguidores, y luego son vendidas. En este sentido, es importante que los usuarios se aseguren de que se trata de un perfil verificado, en aquellas redes sociales en las que se ha implementado la funcionalidad. De esta forma, sabrán cuándo se trata de publicaciones y promociones legítimas.
