Dos nuevas ciberestafas para robar cuentas de Instagram y Facebook en las que no debes caer

La ciberseguridad es uno de los temas del momento y continuará siéndolo durante muchos meses. Cada vez son más frecuentes los ciberdelitos y, aunque la vergüenza hace que mucha gente no lo cuente, este año han sido millares los gallegos que han tenido un problema de este tipo.

Si tienes una empresa expuesta en Internet, las probabilidades de ser objeto de un intento de ciberestafa se multiplican, y ya conté yo mismo hace unos meses que dos rusas (o rusos) casi me timan con un complicado proceso de ingeniería social que duró varias semanas. En los últimos días me han llamado la atención dos intentos de ciberestafa que he recibido insistentemente, y creo que es interesante comentarlo.

Desde luego, Quincemil no es un medio de tecnología, pero seguro que a muchos de nuestros lectores les puede resultar útil esta información para saber a qué atenerse.

Número 1: La falsa demanda de propiedad intelectual

Este intento de estafa es bastante nuevo e intrincado. Lo que parecen hacer es tomar la información de contacto que tienes en una página de Facebook e Instagram e inventarse una demanda por derechos de autor falsa. Simulan ser un bufete de abogados reconocido, te envían un email muy serio diciendo que has infringido unos derechos de autor, e incluyen un enlace con las "pruebas" para que pinches.

Lo que hay a continuación es un archivo comprimido de 100 megas de peso, que incluye en su interior un archivo vacío de unos 95 megas, y un archivo ejecutable que en realidad es, por supuesto, un virus. No sé lo que pasa después, porque afortunadamente no he picado.

En los últimos días hemos recibido varios intentos de estafa similares, intentando hacerse pasar por bufetes de abogados reales, usando su logo y señas en los emails que envían los estafadores. Aquí tenéis algunas capturas de pantalla que los muestran.

Si recibes este email, denúncialo por phishing en tu servicio de correo electrónico preferido.

Intento de estafa haciendo pasar por el Bufete Frau

Intento de estafa haciéndose pasar por el Bufete Megías

Otro intento de estafa, esta vez con un bufete internacional con sede en Madrid

Número 2: La falsa aplicación de betatesting de Meta Ads

El segundo de los timos novedosos que he recibido recientemente es una invitación para probar una beta de la aplicación de anuncios de Meta (con la que controlas desde el móvil las campañas publicitarias en Facebook e Instagram), que en realidad no parte de la empresa de Mark Zuckerberg, sino de unos hackers.

Testflight es un servicio de prueba de aplicaciones en desarrollo para iOS. Se usa, por ejemplo, si tú eres una empresa de software y le estás haciendo una aplicación a un cliente. Para que el cliente vea cómo va avanzando, le envías la aplicación por Testflight para que se la instale en su móvil y te diga su opinión. La clave es que Apple no interviene en el proceso de revisión de la aplicación, así que puede ser un virus.

Lo meritorio de este intento de hackeo es que los ciberdelincuentes (cibercarrachos) se han tomado la molestia de desarrollar su propia aplicación para timarte, lo cual lleva tiempo y esfuerzo. ¿Qué objetivo tienen? Probablemente, que introduzcas tu nombre de usuario y contraseña de Facebook, para así luego poder robarte o bien tus cuentas, o bien tus datos personales, o todo. Como tampoco he picado, no sé lo que pasa.

Estos son algunos emails que he recibido (cuatro en total, todos parecidos).

¡Es una trampa!

Otra trampa parecida

Bonus track: La colaboración con PDF malvado

Como primo hermano de las estafas anteriores está el intento de instalarte un virus mediante un enlace dentro de un PDF. En las últimas semanas en Vandal hemos recibido un montón de propuestas de colaboración de marcas conocidas (Sony, Apple, Miravia, Amazon, etc…), consistentes en un PDF que te invita a hacer clic en un enlace, que te instala la aplicación mágica de colaboración. Obviamente, es un virus.

Hacen esto porque un enlace malicioso es fácil de detectar en un email, pero no sí está dentro de un PDF. Además, el PDF no suele estar incluido en un email, sino almacenado en dropbox o similares. De este modo, se saltan las útiles protecciones antivirus de Gmail y de Dropbox para intentar colarte un gol y robarte tu cuenta de Youtube y, si pueden, hasta tus tripas.

Síganme para más consejos.