Washington, 19 nov (RHC) Cibercriminales se hicieron de las credenciales de entre 150 000 y 200 000 cuentas de Facebook: nombres de usuarios y contraseñas, direcciones IP e información de identificación personal, como los correos electrónicos.
Una maliciosa campaña bajo la falsa promesa de conocer quién había visto tu perfil. Así, cibercriminales elaboraron una estafa global que afectó a entre 150 000 y 200 000 cuentas de Facebook, según informó ESET, compañía de seguridad informática que dio cuenta del crimen.
"ESET advierte que una base de datos Elasticsearch indebidamente configurada y operada por ciberdelincuentes dejó expuestos nombres de usuario y contraseñas", se lee en un comunicado de la empresa.
Los cibercriminales ingresaban a las cuentas de usuarios de Facebook mediante una herramienta que supuestamente revelaba a las víctimas quién había visto su perfil, pero en realidad el objetivo final era robar sus credenciales.
Si bien la empresa de seguridad informática reconoce que no sabe exactamente cómo las víctimas llegaron a esos sitios falsos, encontraron 29 dominios que forman parte de una red de sitios utilizados con este fin. Estos sitios incluían, por ejemplo, mensajes como: "Tu perfil recibió 32 visitas en los últimos dos días. Continúa para ver la lista".
Luego, si la víctima hacía clic en el botón que decía "abrir la lista", era dirigida a una falsa página de inicio de sesión de Facebook, donde se le solicitaba que ingrese sus credenciales de ingreso. Una vez ingresadas, las credenciales eran almacenadas en la base de datos controlada por los atacantes. Pero la estafa no terminaba allí.
La campaña tenía otra fase maliciosa: los comentarios en las cuentas de las víctimas contenían enlaces a sitios de dudosa reputación y algunas legítimas. Según ESET, el "mix de sitios era una estrategia para evadir los mecanismos de detección y evitar ser bloqueados".
En los sitios se invitaba a los usuarios a registrarse para acceder a una cuenta gratuita de trading de Bitcoin y depositar 250 euros (casi 300 dólares) para comenzar. En caso de realizar el depósito, el dinero iba a parar a manos de los cibercriminales.
Fuente: Sputnik