Un ataque de phishing en las redes sociales se produce cuando un pirata informático utiliza sitios de redes sociales como Facebook, Twitter o Instagram para robar datos personales. Por lo general, esto sucede cuando un pirata informático publica algo en las páginas de amigos o colegas en las que no pueden resistirse a hacer clic.

Phishing en redes sociales

Las redes sociales se han vuelto tan omnipresentes como el aire que respiramos. Las personas usan Facebook, Instagram, Twitter y una multitud de otras plataformas para mantenerse al día con amigos y familiares, estar al tanto de las últimas noticias, tener citas y conectarse con el mundo.

Las empresas también utilizan las redes sociales. Lo utilizan para mantener informados a los clientes sobre sus últimas ofertas de productos y eventos, para marketing y para atraer nuevos negocios. Entonces, naturalmente, los malos actores usan las redes sociales como una plataforma para lanzar sus redes de phishing. Herramientas como Hidden Eye o ShellPhish hacen que este tipo de ataques de phishing sea tan fácil como presionar un par de botones en una aplicación.

La información recopilada por los piratas informáticos incluye credenciales de inicio de sesión de la cuenta de redes sociales, información de la tarjeta de crédito y datos personales sobre una persona que luego se pueden usar para lanzar otras estafas y ataques.

Phishing de Instagram

Instagram es una plataforma popular para compartir fotos y texto. Los usuarios de Instagram de todo el mundo utilizan esta plataforma como una especie de diario en vídeo para compartir actividades y momentos cotidianos.

Un ataque de phishing en Instagram comienza cuando un pirata informático crea una página de inicio de sesión de Instagram falsa. Para engañarlo, estas páginas falsas están diseñadas para parecerse lo más posible al sitio real. Cuando proporciona una identificación de usuario de Instagram y una contraseña a la página falsa, el atacante captura sus credenciales. Por lo general, será redirigido a la página de inicio de sesión real de Instagram para la autenticación, pero el daño ya está hecho. Con sus credenciales de Instagram, el atacante tiene acceso completo a su cuenta.

Si usa esas mismas credenciales para otros sitios de redes sociales, o peor aún, su cuenta bancaria, el atacante podría potencialmente acceder a esas cuentas también. El único desafío sería saber qué banco utiliza.

Una vez que el hacker tiene acceso a su cuenta de Instagram, puede usarla para espiarlo. Ahora también pueden hacerse pasar por el usuario legítimo y solicitar información personal a sus amigos y seguidores. Naturalmente, el hacker cubrirá su rastro borrando los mensajes que envía.

Llevando las cosas al siguiente nivel, el atacante puede tomar posesión completa de su cuenta de Instagram. Él puede cambiar su información personal, preferencias e incluso su contraseña, bloqueando así su propia cuenta.

Phishing de LinkedIn

Linked in es la plataforma de redes profesionales más utilizada del mundo. Los piratas informáticos le envían correos electrónicos, mensajes de LinkedIn y enlaces para intentar engañarlo para que divulgue información confidencial, datos de tarjetas de crédito, información personal y credenciales de inicio de sesión. El pirata informático podría piratear su cuenta de LinkedIn y publicar desde adentro para convencer a sus conexiones de una publicación, venta o estafa útil para recopilar datos personales.

El hacker también puede enviar correos electrónicos que parecen provenir directamente de LinkedIn. Una cosa que facilita los ataques de phishing en LinkedIn es que el sitio oficial de LinkedIn tiene varios dominios de correo electrónico. Los correos electrónicos de [email protected] y [email protected] son legítimos, pero el hecho de que haya muchos dominios legítimos facilita que los piratas informáticos engañen a los usuarios con mensajes ilegítimos. Es difícil mantenerse al día con los dominios auténticos frente a los falsos utilizados por el atacante.

Phishing de Facebook

Lanzado a principios de la década de 2000 y con más de 2.600 millones de usuarios activos, Facebook es tanto el abuelo como el rey de todas las plataformas de redes sociales. Como una de las primeras plataformas de redes sociales, tanto las personas como las empresas la utilizan para conectarse con amigos, familiares y clientes.

En el phishing de Facebook, recibe un mensaje o enlace que solicita información personal, que puede parecer sospechosa o no. Esta información proporciona al atacante todo lo que necesita para acceder a su cuenta de Facebook. Podría recibir un correo electrónico informándole que hay un problema con su cuenta de Facebook y que necesita iniciar sesión para corregir el problema.

Estos correos electrónicos tienen un enlace conveniente a seguir que conduce a un sitio similar a Facebook. Una vez que llegue a este sitio web impostor, se le pedirá que inicie sesión. Cuando lo haga, el pirata informático recopilará sus credenciales. Preste especial atención al localizador uniforme de recursos (URL) para asegurarse de que va a www.Facebook.com. Es probable que cualquier otra cosa sea falsa.

Phishing de Twitter

Twitter es un sitio de redes sociales que le permite compartir noticias y comentarios sobre prácticamente cualquier tema mediante mensajes cortos llamados tweets. Los tweets están limitados a un tamaño máximo de 280 caracteres. Esta restricción facilita a los usuarios escanear rápidamente muchos mensajes en poco tiempo.

Los piratas informáticos que realizan suplantación de identidad en Twitter utilizan las mismas tácticas y técnicas que utilizan para otras plataformas de redes sociales. Un mal actor envía correos electrónicos falsos que dicen provenir de Twitter. Estos correos electrónicos intentan atraerlo para que divulgue información confidencial, como credenciales de inicio de sesión, información personal e incluso datos de tarjetas de crédito. Twitter dice que solo envían correos electrónicos a usuarios de dos dominios: @ Twitter.com o @ e.Twitter.com.

Estos ataques de phishing conducen a otros ataques relacionados. Uno de esos ataques es el ataque de “pago por seguidores”. En este ataque, recibe mensajes de piratas informáticos que afirman garantizarle tantos seguidores por el bajo precio de cinco dólares. Si muerdes el anzuelo, es probable que te quedes sin cinco dólares y tu cuenta puede convertirse en un conducto para enviar spam a todos tus seguidores.