Más y más fraude en Internet

No está considerado como la profesión más antigua del mundo, pero si una de las acciones documentadas con mayor antigüedad. Ya los griegos engañaron a los habitantes de Troya haciéndoles creer que el famoso caballo era un regalo, así pues la práctica de la estafa o el engaño, viene de antaño.

Con el horizonte de posibilidades que se abren al poder "llegar" a una cantidad inimaginable de público a través de Internet, los practicantes de las estafas se siguen aprovechando del elemento más débil de la cadena, es decir, la inocencia e ignorancia humana para cometer sus actos. Dada la evolución de los hábitos de los usuarios en Internet, se multiplican y actualizan los canales "de moda" para poder actuar.


He intentado ordenar cronológicamente según recuerdo que se empezaron a utilizar, hasta nuestros días:

  • MSN Messenger: Raro es encontrarte una invitación de alguien que no conoces, cuyo correo es extraño, posiblemente extranjero y que le digas lo que le digas siempre te contesta lo mismo. Los primeros bots MSN que, en base a navegar incansablemente por la red, añadía correos de hotmail a su lista y después de una "interesante" y robotizada conversación sin sentido alguno, te proveía de un enlace para que una vez más picaras y tu PC descargara algún tipo de malware. Otra variante de los bots MSN ofrecían servicios de "Quientehaeliminado" de la misma red. Una vez suministrabas tu usuario/contraseña, éstos cambiaban tu mensaje actual y se hacían publicidad a sí mismos, abriendo una ventana y enviando una copia del enlace a todos tus contactos, tanto por correo como por mensajería instantanea. Además cambiaba tu nombre y estado de MSN. De hecho, incluso a día de hoy este tipo de malware todavía está en pleno apogeo y aun la gente pica!
  • Facebook: Cuantas veces he visto grupos en los que se dice, "Si quieres saber quién mira en tu perfil, ingresa en este grupo. Este de verdad funciona"… Cuando el que crea el grupo pone "Este de verdad funciona…" malo, porque está claro que no funciona! ¿Qué saca el creador del mismo al haberte logrado engañar para ser parte de ese grupo? Pues así tendrá a su disposición una gran masa receptora de Spam, o de "ofertas" a las que engañar enviándoles un simpático mensaje con algún enlace,.. que pueda derivar en cualquier otra acción de malware conocida o desconocida. Otro tipo de engaño que ya reseñaba El Maligno en Facebook son publicaciones bastante ingeniosas en los muros de algun@s como: "Si pones tu contraseña de Facebook en tu muro en Facebook aparecerán *******. Haz la prueba si no te lo crees!" y efectivamente y como podéis imaginar, la curiosidad humana es más potente que el pensarlo dos veces: Oye, ¿y si fuera verdad…?  Ya hablamos hace tiempo de aplicaciones facebook que supuestamente eran inofensivas pero que podrían ser altamente maliciosas si les permitíamos acceder a nuestros datos.
  • Twitter: Dado el auténtico boom que ha resultado ser la red Twitter, que incluso se plantean estudios que posiblemente hagan dejar de lado los lectores RSS, está claro que la forma de distribuir spam, y malware en cualquiera de sus formas, pronto se apoyaría en la potencia de esta red social. Así pues, amén del spam generado y que Twitter se encarga de intentar limitar y controlar, dado una vez más a la curiosidad humana, se observaron casos como el de Twifficiency en el que, por pulsar un enlace y hacer login con tu usuario y contraseña de Twitter, te devolvía un mensaje con el porcentaje de "Tu Eficiencia en Twitter". Acto seguido y de la misma forma que con los "Quientehabloqueado" de MSN, la aplicación hacía login con tus credenciales y publicaba en tu timeline tu Twifficiency… En este caso, el autor de la aplicación cometió un error y lo hizo inconscientemente (llegando por cierto a ser trending topic) debido a que "se lió con el mecanismo de funcionamiento OAuth". Otro gran "ataque" de distribución de malware se produjo esta semana mediante el hash #CNP, que mezclaba la capacidad de expansión de un mensaje a través de Twitter, la utilización de varias cuentas comprometidas y a través de uno de los grandes pero "acortados" riesgos: los acortadores de URLs
  • Linkedin: Hace poco ví un post en el blog de nuestro amigo Jordi Prats en el que llegaba a la conclusión que le añadía gente desconocida a Linkedin, con la finalidad de conseguir una red de contactos de IT actualizada que poder vender como base de datos en el mercado de los recursos humanos y el "head hunting".
Podríamos decir que todas estas amenazas requieren de colaboración humana por parte del inocente usuario para ejercer una acción: ya sea un click en un enlace, una llamada a un número premium, aceptar una inocente aplicación Facebook, creer en que alguien da duros a cuatro pesetas, etc, etc,..

Como buenas prácticas a tener en cuenta ante este tipo de amenazas podríamos dar las siguientes:


  • Cuentas "de prueba": Dada la gratuidad de las redes sociales, mensajería instantánea, etc,... nada nos impide el poder contar con tener una cuenta "B" con datos ficticios o no relacionables con la cuenta "A", a partir de la que poder realizar aquellas pruebas, y por supuesto en un entorno "sandboxizado" en el que no se haga daño a nuestro entorno de trabajo.
  • MSN Messenger: Aparte que ya no se puede saber quién te ha eliminado en el MSN a ciencia cierta, una buena forma de evitar el compromiso de la contraseña es cambiarla justo antes de usar el servicio "Quientehaeliminado" y justo después de haberla usado… Aun así, lo mejor es no usarlo!!!
  • Facebook: Piensa dos veces antes de sumarte a un grupo. Si tuvieras que pagar 1 euro por cada "Me gusta" o cada "Grupo" al que te adhieres, miraríamos con mucha más tranquilidad si nos unimos o no así como así.
  • Twitter: Tener precaución antes de pulsar en enlaces acortados y utilizar alguna de las diversas utilidades que permiten hacer un preview del enlace real sin acortar antes de pulsar encima.
  • Email: Por supuesto, contar con un sistema de antispam, antivirus o protección integral bien actualizado sobre vuestros sistemas Windows, o utilizar un sistema operativo Linux o *NIX, para los que existe un número inferior de amenazas que les afecten.
Texto original en Security by Default

Comentarios