Investigadores de Trustwave recientemente encontraron una campaña de phishing que hace uso de publicaciones de Facebook para persuadir a los usuarios a que compartan su información personal de identificación, PII por sus siglas en inglés (Personally Identifiable Information).

En esta nueva campaña de phishing, denominada Meta-Phish, el usuario recibe un correo electrónico en el cual se especifica que ha cometido una infracción de derechos de autor y es necesaria una solicitud de apelación, de lo contrario, su cuenta será eliminada. En el contenido del correo se encuentra una URL que redirige a una publicación de Facebook creada por una cuenta que se hace pasar por un perfil de soporte oficial.

Figura 1 – Correo electrónico de la campaña Meta-Phish (Trustwave)

En la publicación se encuentran más detalles sobre la supuesta infracción de derechos de autor y un enlace que redirige a un dominio externo.

Figura 2 – Publicación de supuesta cuenta de soporte de Facebook (Trustwave)

El sitio web apócrifo imita una página de apelación de derechos de autor de Facebook, y solicita los siguientes datos:
• Nombre completo
• Correo electrónico usado para el inicio de sesión en Facebook
• Número de teléfono
• Nombre de la página de Facebook

La información ingresada por la víctima es enviada a una cuenta de Telegram usando la API de Telegram Bot, así como también la dirección IP y geolocalización de la víctima. Una característica llamativa de esta campaña es que hace uso de Google Analytics en sus páginas de phishing, herramienta que permite a los cibercriminales medir la efectividad de sus campañas.

Figura 3 – Supuesto formulario de apelación de derechos de autor de Facebook (Trustwave)

Una vez que el proceso de envío de información es completado, la víctima es redirigida a un sitio web apócrifo que simula ser un control de contraseña de un solo uso (OTP), el cual solo muestra un mensaje de error, y finalmente, es redirigida a un sitio legítimo de Facebook para el inicio de sesión.

El phishing es una de las técnicas de ingeniería social más usadas en las campañas de malware. Como observamos en Meta-Phish, los cibercriminales siempre buscan formas creativas y sofisticadas de burlar los controles de seguridad, por lo que es importante:
• Conocer las técnicas de ingeniería social usadas por los cibercriminales para distribuir sus campañas de malware.
• Revisar a profundidad el dominio y remitente de los correos electrónicos, en búsqueda de características sospechosas
• Siempre realizar las peticiones de actualización de datos o cambio de contraseñas en el sitio web oficial del servicio/red social; evitar hacerlo desde enlaces adjuntos en correos sospechosos.

Referencias:
• https://www.bleepingcomputer.com/news/security/phishing-attack-uses-facebook-posts-to-evade-email-security/
• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/meta-phish-facebook-infrastructure-used-in-phishing-attack-chain/