Expertos del Centro de Experiencia Digital de Roskatchestvo registraron un ciberataque de phishing a cuentas de usuarios de VKontakte. El ataque está diseñado para robar la contraseña de un usuario con el fin de hackear su perfil en la red social y utilizarlo para enviar spam y fraudes. Trabajamos con VKontakte para desmontar el esquema y mostrarte cómo evitar la trampa y seguir utilizando tu red social favorita de forma segura.
La red social VKontakte permite a los usuarios cargar todos los datos que la red ha recogido durante la vida de la cuenta del usuario. El archivo, cedido por VKontakte, contiene una gran cantidad de información, incluyendo todas las conversaciones del usuario. Sólo el usuario, conectado a su cuenta, puede ordenar la liberación del archivo, y no se puede hacer desde fuera. Sin embargo, se trata de que el atacante está imitando un ataque para acceder a la cuenta del usuario, jugando con el miedo de la víctima a que sus comunicaciones se vean comprometidas si no se toman medidas.
El ataque sigue el siguiente camino: un usuario que tiene una cuenta en VKontakte recibe por correo electrónico, notificaciones push o un mensaje privado un mensaje que dice «se creará un archivo de toda su correspondencia en 24 horas y se enviará al correo electrónico XXX. El correo electrónico utilizado no es obviamente el del usuario, algo así como artem*****@mail. A continuación, se produce un esquema clásico de phishing: se pide al usuario que acceda a su cuenta para cancelar la creación y transferencia del archivo, y que cambie su contraseña mediante un enlace. Excepto que este enlace que lleva a un sitio diferente cada vez, y tiene vk en el nombre es un sitio de phishing, aunque es muy similar al real en la forma – el diseño del sitio de phishing se asemeja al sitio de la red social tanto como sea posible.
Por ejemplo, nos hemos fijado en un sitio llamado vkarchives.com, que en el momento de redactar este material ha sido retirado y al hacer clic en este enlace fue bloqueado por los agentes de seguridad de VKontakte para proteger a sus usuarios. Si un usuario introduce su contraseña en forma de sitio falso, entregará su cuenta directamente a las manos del hacker, como se dice, calurosamente. Cambiar la contraseña es ciertamente algo útil, pero no en un sitio fraudulento, y sólo en la red social original!
Ilya Loevsky, subdirector de Roskachevo.
«Un atacante que robe tu perfil en la red social podría, efectivamente, ordenar una subida de archivos, y esto es potencialmente peligroso. El archivo no sólo contiene la información pública del perfil, sino también, por ejemplo, los documentos cargados por el usuario, las vinculaciones del número de teléfono, el historial de pagos y la lista de tarjetas bancarias utilizadas. Todo esto puede ser utilizado por un intEspañol en su beneficio y, por supuesto, puede costar caro al usuario. Hay que tener cuidado al utilizar las redes sociales para reconocer los intentos de piratería»
Para no ser presa de los defraudadores a través de este esquema, deben observarse las siguientes reglas:
No hagas clic en los enlaces de los mensajes, especialmente los que juegan con las emociones tanto las negativas «te han hackeado» como las positivas «has ganado» .
Introduzca sólo las direcciones de las redes sociales manualmente en un navegador o, mejor aún, utilice la aplicación de la red social. No introduzcas nunca tus contraseñas e inicios de sesión en sitios de terceros. Aunque el sitio sea similar
tu red social favorita, comprueba siempre en la barra de direcciones dónde estás.
Si tienes problemas con la seguridad de tu cuenta de la red social, cambia tu contraseña, lee las preguntas oficiales y ponte en contacto con el soporte técnico; no hagas nada precipitado si no estás seguro de ello.
Utilice la autenticación de dos factores 2FA .
Si ha hecho clic en estos enlaces, cambie su contraseña para asegurar su perfil. Mejor aún, hágalo ahora mismo como medida preventiva sin esperar a los hacks, porque puede haber olvidado algunas de sus cuestionables transiciones. Esta es una recomendación de nuestro agente de soporte de VKontakte.
Alexander Shvets, director de la protección de la privacidad de los usuarios de VKontakte, comentó este tipo de fraude y los métodos para combatirlo: «Los atacantes pueden crear sitios de phishing y enviar correos electrónicos de spam haciéndose pasar por recursos populares. Por supuesto, nadie entra en nuestros servidores ni accede a nuestras bases de datos. La gente da sus perfiles a los estafadores sin querer, haciendo clic crédulamente en enlaces no verificados. De media, enviamos unas 10.000 alertas de cambio de contraseña al día. Bloqueamos rápidamente los saltos de VKontakte a sitios maliciosos. También te recomendamos que no utilices ningún software malicioso que solicite datos personales para recibir funciones que no están disponibles en VKontakte: ver fotos ocultas de otras personas o «páginas de invitados», ofrecer regalos ilimitados o votos gratuitos».
Vkontakte indica específicamente que su archivo personal no puede descargarse sin confirmación desde el dispositivo conectado a su cuenta y que el enlace único de descarga no puede abrirse desde otra cuenta. Además, puede cifrar el propio archivo utilizando su clave personal OpenPGP.
Mantenga sus redes sociales seguras, ya que son su identidad en línea. Su pérdida para muchos puede ser un gran problema!
