Miles de usuarios y contraseñas de Facebook son robados mediante campaña fraudulenta

Los nombres y contraseñas de unos 150,000 usuarios de Facebook fueron robados a través de una campaña fraudulenta, alertó la compañia de seguridad ESET .

Mediante un comunicado de prensa, ESET explica que la estafa se realizaba prometiendo a los usarios que podrían ver quiénes habían visto su perfil si hacían uso de la base de datos “Elasticsearch”, la cual está configurada para robar los datos personales de los usuarios.

Los investigadores descubrieron al menos 29 dominios que eran utilizados para este fin.

“Estos sitios incluían, por ejemplo, mensajes como “Tu perfil recibió 32 visitas en los últimos dos días. Continúa para ver la lista.” Luego, si la víctima hacía clic en un botón que dice “abrir la lista” sería dirigida a una falsa página de inicio de sesión de Facebook y se solicitaría que ingrese sus credenciales de acceso a la plataforma”, explica el comunicado de ESET.

Imagen con fines ilustrativos. Foto: Cortesía.

Agrega el texto que estos sitios dirigían a las víctimas a distintas páginas web, algunas de dudosa reputación y otras legítimas.

“El mix de sitios era una estrategia para evadir los mecanismos de detección y evitar ser bloqueados, pero según los investigadores, el principal objetivo era dirigir a las víctimas a sitios en los que se invitaba a los usuarios a registrarse para acceder a una cuenta gratuita de trading de Bitcoin y depositar 250 euros para comenzar. En caso de realizar el depósito, el dinero iba a parar a manos de los cibercriminales”, señala ESET.

Hallazgos

Según los investigadores, entre los datos almacenados en Elasticsearch, se identificó que entre 150,000 y 200,000 nombres de usuarios y contraseñas fueron robados, además de direcciones IP de los computadores.

De igual manera los ciberdelincuentes tuvieron acceso a información de identificación personal de  las víctimas,  tal como dirección de correo, nombres, o números de teléfono.

“Desde ESET recomendamos cambiar la contraseña en caso de creer haber sido víctimas de este engaño o de un esquema similar donde hayan ingresado sus credenciales de acceso en un sitio sospechoso”, aconseja Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET.

Además sugiere cambiar cambiar la contraseña en todos los servicios donde se haya utilizado la misma clave y no ingresar información personal en sitios de dudosa reputación.

Finalmente Gutiérrez pide a los usuarios que para  “evitar dolores de cabeza teniendo que recordar cada una de las contraseñas utilizadas en cada cuentas o servicios, recomendamos utilizar un gestor de contraseñas, y utilizar mecanismos de autenticación de dos pasos en todas su cuentas y servicios online”.

 

 

 

 

Deja un comentario