Cómo funcionan las campañas de phishing vía Instagram: Radiografía de una real

Vuelvo esta vez con un tutorial sencillito en el que quiero ejemplificar cómo funcionan las campañas de phishing vía Instagram.

En este caso, estamos ante una campaña que tiene como objetivo perfiles en la red social de Facebook exitosos, como es el de Èlia Guardiola (ES), a la que por supuesto le llegó la campaña.

¿Cómo funcionan las campañas de phishing vía Instagram?

El modus operandi es bien sencillo de entender:

• Crean una cuenta en Instagram: Una cuenta que, como vemos, se intenta pasar (por el uso del logotipo y su nick) por una cuenta oficial de la plataforma.
• Seleccionan sus objetivos: En este caso curiosamente eran varios referentes en materia de marketing y social media de habla hispana. Es decir, gente que más o menos se conoce al trabajar en el mismo mundillo, y que tienen bastante éxito en la plataforma. Lo que me hace pensar que sacaron los enlaces de alguna página web de congresos recientes.
• Los siguen a todos: Por eso de generar confianza (es normal que antes de darle a follow back a un perfil revises qué perfiles tenéis en común), y además para en algunos casos (según el nivel de privacidad que tenga tu cuenta) poder enviarles un MP.
• Les envían un mensaje privado aparentemente oficial (por eso de que hoy en día es la única manera de meter un enlace clicable en la plataforma de Facebook) en el que les alertan de que han utilizado contenido protegido por derechos de autor, y que para evitar que se le bloquee la cuenta deberán acceder a la página de soporte, que por supuesto no es otra cosa que una página fake.

El gancho

El privado que les enviaban era el siguiente:

Hello! Instagram User

A copyright violation has been detected in a post on your account.

If you think copyright infringement is wrong, you should provide feedback

Otherwise, your account will be closed within 24 hours. You can give feedback from the link below.

Thank you for your understanding.

From:

https://supportcenterinstagramforcopyright.ml/

(Synchronization problems may occur. If the link is not working, write this text in a notebook and copy the link and paste it into your browser.)

Case Number : XXXXXXXXXXX

@ Instagram. Facebook, Inc, 1601 Willow Road, Menlo Park, CA 94025

En él podemos ver varios puntos típicos de las campañas de phishing:

1. Se hacen pasar por un organismo oficial: En este caso, nada más y nada menos que la propia Instagram. Han tenido hasta el detalle de copiar y pegar la dirección de la compañía en California.
2. Requiere acción inmediata: En él avisan que si en 24 horas no nos ponemos en contacto con el servicio, nos bloquearán la cuenta. Ese sentimiento de urgencia tan manido en cualquier campaña de fraude, por el simple hecho de que si tienes menos tiempo, también lo tendrás para pararte a pensar y darte cuenta de que lo que te piden no tiene sentido.
3. El enlace: Ya expliqué en su día que es por aquí por donde más fácilmente se pillan los fraudes. Esa dirección, si te fijas, no viene de instagram.com o facebook.com, sino de un dominio rarísimo que para encima tiene una extensión .ml, es decir, ¡de Malí! Por supuesto esto no significa que los cibercriminales sean de ahí, sino simplemente que hablamos de un proveedor de extensión que está menos regulado, y del que por tanto es más sencillo de utilizar para campañas de fraude.

Indagando un poco más en el enlace, para el momento en el que escribo estas palabras, Chrome ya lo identifica como potencialmente peligroso. Y es más, aún saltándome la alerta de Chrome para acceder a él, veo que el proveedor ya lo ha bloqueado (la página no es accesible), seguramente debido a las denuncias que tanto mi pareja como el resto de potenciales víctimas ha hecho.

De hecho la cuenta de Instagram en este momento ha sido también borrada.

Algo, por otro lado, que poco les importa a los cibercriminales. Como ya expliqué en aquella otra campaña de phishing vía Instagram, igual que tendrán esta campaña activa, la tendrán con decenas o cientos de cuentas creadas automáticamente y decenas o cientos de dominios que apuntan a diferentes webs clónicas. Continuamente les estarán bloqueando dominios y/o cuentas, pero también continuamente están creando nuevas, así que con que duren aunque sea unas cuantas horas (lo justo para mandar el MP a la víctima y que esta entre en la web a meter sus datos) es más que suficiente.

¿Cómo podemos evitar ser víctimas de una campaña de phishing vía Instagram?

Pues la primera parada de todas es, como decía, identificar estos puntos que son comunes en las campañas de phishing:

• Ese sentimiento de urgencia o de chollo,
• el uso de páginas webs externas de dudosa credibilidad,
• y el que casualmente te vayan a pedir nuevamente los datos, son algunos de los puntos clásicos que nos deberían hacer desconfiar.

Si en efecto es la propia Instagram quien se pone en contacto con nosotros, lo va a hacer desde la propia interfaz, no con una cuenta y un MP. Y es que aunque así fuera, ofrecerá dentro de la propia plataforma y SIN PEDIRNOS NINGÚN DATO que lo solventemos. A fin de cuentas, ya tienen nuestros credenciales. No tendría sentido que nos los volvieran a pedir.

En fin, un artículo rápido para repasar cómo funcionan estas campañas de phishing vía Instagram.

Si sirve aunque sea para concienciar a alguno y evitar que caigan en el fraude, habrá servido la pena.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.