Consiste en engañar a la víctima para ingresar sus credenciales de inicio de sesión (email y contraseña) en la plataforma de Facebook enviando dicha información al cibercriminal, permitiendo el acceso a la cuenta y la suplantación de identidad del usuario.
Descripción de la campaña:
1. El cibercriminal envía un mensaje a usuarios de Google, Microsoft, Facebook, Instagram y/o WhatsApp solicitando el apoyo de un ”like” en una supuesta publicación.
2. El cibercriminal envía un enlace acortado mediante la plataforma Bitly, los enlaces suelen ser del tipo: https:bit.ly/id.
3. Al hacer clic en el enlace, el usuario es redireccionado a una supuesta página de Facebook con dominio fabooklatcol-loginID-com.filesusr.com, las URL suelen ser del tipo:
1. La información ingresada es enviada al cibercriminal mediante los botones habilitados en el sitio fraudulento.
2. El cibercriminal roba la información contenida en el perfil de Facebook y suplanta la identidad del usuario para realizar actividades ilícitas en internet.
3. Usualmente el cibercriminal envía mensajes a la víctima para amenazar, extorsionar o realizar difusión ilícita de imágenes.
Recomendaciones.
1. Es importante que haga caso omiso a mensajes de personas desconocidas.
2. Verifique la URL al iniciar sesión en Facebook, esta debe ser: https://www.facebook.com.
3. Habilite la autentificación en dos pasos (2FA) de su perfil de Facebook desde Configuración > Seguridad e inicio de sesión > Autenticación en dos pasos.
4. Cierre las sesiones abiertas que no reconoce dentro de su perfil de Facebook desde Configuración > Seguridad e inicio de sesión > Dónde iniciaste sesión.
5. No utilice la misma contraseña para sus cuentas en internet como Facebook, Twitter, email, etc.
A nivel organizacional, se recomiendan las siguientes acciones.
1. Bloquear las siguientes dirección IP: 34.102.176.152, 172.67.211.60, 104.18.53.54.
2. Bloquear los emails con dominio id@domainsbyproxy.com, j@gmail.com.
3. Bloquear o evitar peticiones de entrada con dominio gpc.media-router.wixstatic.com, media-router.wixstatic.com.
4. Bloquear o evitar las peticiones de salida a los dominios 108.162.193.191 (kevin.ns.cloudflare.com), 108.162.192.88 (cruz.ns.cloudflare.com), 104.18.56.54 (iframe.parchados.com).
5. Evitar almacenar cookies de los sitios web.
6. Se recomienda prestar atención a sitios web que presenten las siguientes características
• Sitio ofuscado con HexDecoder u otro ofuscador.
• Formulario con variables POST como: lsd, jazoest, try_number, idfb, pass, is_smart_lock, detector, entre otros.
• Sitio con variables globales, como: $victima, $llegaron, $uno, $dos, $URLFin, $regreso, entre otros.
Si eres víctima de Suplantación de Identidad, Amenazas, Extorsión o Difusión Ilícita de imagen, denuncia ante la Fiscalía General del Estado de San Luis Potosí: http://apps.fiscaliaslp.gob.mx:8084/#/login.