Desde hace aproximadamente un año hemos visto un incremento de intentos de robo de credenciales a usuarios desde redes profesionales como LinkedIn: usuarios ficticios creados únicamente para este propósito nos envían mensajes directos con enlaces que conducen a webs de phishing. Este método, aunque fuera novedoso al tratarse de una red social profesional, no muy efectivo si seguimos unas buenas prácticas básicas de seguridad y, sobre todo, nuestro sentido común.

Ahora, investigadores de amenazas de Perception Point han descubierto que los actores de amenazas han modificado su modus operandi, en este caso usan lo que llamamos “el método Instagram” que consiste en usar contactos reales para robar tus credenciales.

En este caso, la estafa se inicia vulnerando la cuenta de una persona real en LinkedIn, una vez adquirida la cuenta, ésta comienza a enviar mensajes a sus contactos aprovechando la relación de confianza que nos aporta que un contacto conocido nos envíe un mensaje de colaboración profesional dentro de una red pensada justamente para esto, la colaboración entre profesionales de diferentes sectores.

El mensaje nos ofrece participar en un proyecto confidencial, nuestro contacto nos indica que para acceder a los datos de este debemos de acceder a un enlace de OneDrive de Microsoft.

linkedin phishing estafa dos pasos ciberseguridad ciberataque ciberestafa red social profesionales usuarios

Hasta aquí todo parece correcto, el uso de aplicaciones colaborativas para compartir información de proyectos profesionales es algo habitual.

Dentro nos encontramos la propuesta y se nos solicita acceder a un enlace para abrir el archivo.

linkedin phishing dos pasos red social redes sociales ciberseguridad ciberataque brecha datos seguridad noticias solucionar bit life media

Este enlace nos redirige a una web de Cloudflare para verificar si somos un humano o un bot, una técnica muy utilizada por los actores de amenazas para evadir defensas de navegación y para aportar sensación de credibilidad al enlace ya que Cloudflare es un servicio legítimo.

Tras esta URL se esconde la web real de phishing que trata de impersonar a Microsoft para robar las credenciales de usuario.

Es en este momento donde si analizamos con profundidad el propio código de la web podremos observar que un cibercriminal es quién está detrás de esta web y se trata de una estafa y no debemos introducir las credenciales de usuario.

ciberdelincuente linkedin black hat hacker hackers linkedin noticia

El ciberdelincuente se hace llamar 3rr0rhun73r y según sus propias redes sociales es de origen Bangladés y pertenece un grupo dedicado a realizar todo tipo de ciberataques.

Para evitar este tipo de estafas debemos de observar diferentes señales que pueden darnos pistas que se trata de una suplantación de una persona conocida:

  • No se dirige por nuestro nombre.
  • El tono en el que realiza la comunicación es impersonal o diferente al habitual usado en otros mensajes.
  • Hay faltas de ortografía o errores visuales.
  • Si la url a la que accedemos para realizar el login de nuestro proveedor de correo es diferente a la habitual.
  • Redirecciones a webs intermedias para verificar nuestra identidad.

Todas estas pistas nos pueden ayudar a prevenir este tipo de ataques hacia nuestra identidad.

Disponer de herramientas que nos ayuden a navegar de forma segura y mantener actualizados los navegadores es otra medida preventiva necesaria para evitar ser víctimas de fraudes.

Especialista en ciber incidentes. Profesor y apasionado de la ciberguridad. Mi actual rol es en Perception Point, expertos en protección de e-mail y cloud apps. Esta posición ha sido un cambio tras haber estado durante toda mi vida profesional gestionando crisis durante incidentes de ciberseguridad y dirigiendo equipos de CERT y soporte. Lo he compatibilizado con la arquitectura de ciberseguridad, gestión de productos, servicios y desarrollo de negocio.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre