Como todas las semanas compartimos con ustedes las nuevas amenazas propagadas por la web, especialmente en esta ocasión a través de redes sociales. Durante la pasada Semana Santa, la red social Facebook se vio afectada nuevamente por la propagación de mensajes con contenido publicitario.

En este nuevo caso, las víctimas caen en la curiosidad que genera un supuesto evento cuyo contenido indica (textualmente) “descubre ya quien está mirando tu perfil”. Se trata de un ya trillado y conocido mensaje que con técnicas de Ingeniería Social busca captar la atención de las víctimas. Como se mencionó, el mensaje llega a las víctimas a través de una invitación a un evento o por un mensaje de una víctima que ya cayó en este engaño:

Facebook

Si se analiza al creador del evento, puede observarse cómo desde su perfil se ven claramente las invitaciones masivas realizadas luego de la creación del evento:

Si la persona ingresa a la pagina se encontrará con el ya conocido sistema en donde se encuentra oculto el botón “Me gusta” utilizando la técnica de clickjacking, y en donde nuevamente luego de realizar los clic indicados en la pagina, la víctima se encuentra con un código en javascript, que se le solicita copiarlo y pegarlo en la barra de dirección. Este código lo que hace es sacar al azar los nombres de los contactos de la víctima y publica automáticamente en su muro para continuar la propagación de la amenaza.

Para terminar con todo este engaño se le pide nuevamente a la víctima cambiar la página de inicio por un buscador que utiliza el servicio de pago por clic en la publicidad de Google:

Podemos analizar que por la cantidad de mensajes que se están reportando a nuestro laboratorio sobre esta amenaza, son muchas las victimas que están cayendo en este engaño, lo cual supone un importante riesgo a la confidencialidad de los datos de la víctima, ya que los datos se pueden usar para distintos fines maliciosos. Muchas de estas técnicas de clickjacking pueden ser bloqueadas por una muy buena extensión de Firefox llamada NoScript acompañado con una buena educación por parte de los usuarios.

Claudio Cortés Cid
Especialista de Awareness & Research