Llegamos a ustedes gracias a:



Reportajes y análisis

Cinco estafas en Facebook y Twitter

[11/09/2009] Una reciente encuesta realizada por AVG Technologies y el Consejo de directores de márketing (Chief Marketing Officers Council) revela que si bien a la mayoría de los usuarios de redes sociales le preocupa el nivel de seguridad que ofrecen estos sitios, muy pocos de ellos toman las medidas necesarias para protegerse a sí mismos. De los 250 usuarios entrevistados, 47% ha sido víctima de infecciones de malware y 55% ha sufrido alguna forma de phishing. Sin embargo, a pesar de estas cifras, 64% de los usuarios cambia su password muy rara vez o no lo hace nunca, 57% casi nunca o nunca ajusta sus parámetros de privacidad, y 90% no reporta problemas de seguridad a las redes sociales.

Con índices tan desalentadores, lo menos que podemos hacer es tratar de que los usuarios que ingresen a estos sitios desde nuestra red estén al tanto del peligro, ¿no es cierto? Pues bien, recientemente, CSO identificó cinco estafas comunes que los usuarios de Facebook y Twitter han detectado o padecido durante sus visitas. Pero, al igual que haría cualquier hombre de negocios sensato, los malhechores siempre están ideando nuevas estrategias y poniendo al día sus tácticas, así que acá tenemos otros algunos trucos sucios a evitar.
Twitear por dinero!
Este fraude se presenta de diferentes maneras. "Haga dinero en Twitter!" y "Twitee para ganar (Tweet for profit) son dos de los anzuelos más comunes encontrados últimamente por los analistas de seguridad. El argumento es que cualquiera puede trabajar desde su casa y ganar grandes sumas de dinero (Hasta 10 mil dólares en un mes!!) con tan solo twitear. Suena demasiado bueno para ser verdad, y obviamente lo es. El antiguo truco por correo electrónico de trabaje desde su casa se ha mudado al Ttwitter, advierte Ryan Barnett, director de investigación de seguridad para aplicaciones de Breach Security, una empresa de seguridad para aplicaciones web.
Breach, que hace poco publicó su reporte Base de Datos de incidentes de hackeo web (Web Hacking Incidents Database), ha constatado una explosión de este esquema durante los últimos meses, en paralelo a la degradación económica que ha llevado a gente con problemas de liquidez a hacer cualquier cosa para conseguir algo de efectivo. A los interesados se les pide el número de su tarjeta de crédito para cargar 1.95 dólares por concepto de envío del CD con el kit de inicio Twitter Cash.
"El usuario termina usando su dinero para pagarle a alguna compañía inescrupulosa", señala Barnett. "Pero luego de pagar por el CD, ellos ya tienen el número de tarjeta de crédito y pueden seguir realizando cargos mensuales a esa tarjeta".
Quienes han sufrido este embuste cuentan que una vez recibido el famoso Kit de inicio, se dieron cuenta de que el programa tenía una licencia gratuita de solo siete días, a partir de los cuales la compañía empezaba a cargarles una cuota mensual, generalmente alrededor de 50 dólares, sin advertir a las víctimas, muchas de las cuales se han visto obligadas a cancelar la tarjeta de crédito para poder poner fin a los cargos fraudulentos. 
Ur Cute. Msg me on MSN (me gustas msgme en MSN)
Los spammers vienen usando la táctica de las proposiciones de índole sexual desde hace varios años a través del correo electrónico, indica Graham Cluley, consultor senior de tecnología de la firma de seguridad Sophos, con sede en Inglaterra. Cluley sigue de cerca las últimas tretas de los spammers, y hace poco detectó en Twitter un aumento de "tweets" que, en lugar del mensaje de 140 caracteres, incluían imágenes de mujeres semidesnudas con un mensaje embebido. Un caso típico es una foto que viene con el mensaje "Ur cute. Msg me on MSN", y que en realidad se trata de una artimaña que lleva al usuario a un sitio para adultos, explica Cluley. El mensaje incrustado en la foto permite a los spammers burlar los filtros anti-spam del Twitter, agrega. "Sin duda, estas personas (spammers) irán cada vez más lejos con tal de hacer que la gente vaya a sus sitios web", señala Cluley.
El timo se vuelve aún más sofisticado si uno decide chatear con alguna de estas señoritas en MSN, continúa Cluley: en realidad no se trata de una persona sino de un robot que se hace pasar por una chica para flirtear durante el chat. "Quieren reducir costos y les resulta mucho más fácil tener programas de cómputo que hagan este trabajo", señala Cluley.
El robot, explica Cluley, sigue un guión que le ofrece al usuario un pase libre" a un supuesto sitio de webcam para adultos. Sin embargo, el link para el presunto pase libre lleva a un sitio que exige una verificación de edad mínima, para lo cual el usuario debe ingresar información sobre tarjetas de crédito y otros datos. Por supuesto, al facilitar este tipo de datos, uno se convierte en blanco perfecto para el robo de identidad, afirma Cluley.
Proteja a su familia de la gripe porcina 
Los chicos malos siempre tratan de aprovecharse de la coyuntura, y en este caso se trata de la preocupación mundial por la gripe A, para sorprender a usuarios desprevenidos. Otra forma muy popular para captar atención es anunciar la muerte de alguna celebridad. Pero actualmente son mucho mayores las posibilidades de terminar dando click en un mal link debido al cada vez más frecuente uso del URL abreviado.
Hay muchos servicios de abreviación de URL que permiten a los usuarios recortar la extensión de un link para ahorrar espacio en un tweet o en una actualización de status de Facebook. Pero es imposible ver a dónde nos lleva el enlace, y ese es precisamente el motivo por el que los criminales usan cada vez más este recurso para dirigir a la gente a sitios poco recomendables. Según reporte de Symantec MessageLabs Intelligence, el spam de URL abreviados también es una técnica muy usada por los spammers que tratan de vender drogas en línea.
"Aprovechan el creciente interés en temas relacionados a la salud, como la gripe porcina y las reformas a la seguridad social planteadas por Obama, para distribuir URL recortados de spam mediante el potente Donbot botnet", informaron fuentes de MessageLabs. De hecho, indica el documento, fue el abuso de URL abreviados lo que llevó a la clausura de varios servicios legítimos de abreviación de URL.
Algunos servicios de abreviación de URL han comenzado a tratar de filtrar los sitios poco fiables confrontando los URL con listas negras, pero la solución total del asunto todavía está muy lejana porque, en opinión de Cluley, pese a los esfuerzos para bloquear los links maliciosos, ni Twitter ni Facebook tienen mecanismos de filtro para URL abreviados.
"Ellos y las demás redes sociales todavía tienen que madurar mucho", subraya. "Uno no puede confiar completamente en ellas, siempre debe tener algún tipo de protección en su computadora."
Fulanito ha comentado tu post!
Poder leer los comentarios de nuestros amigos es uno de los principales atributos de Facebook. Por eso, es una lástima que Rik Ferguson, investigador de Trend Micro, haya descubierto hace poco una modalidad de phishing que se sirve de falsas aplicaciones Facebook. Las aplicaciones maliciosas que descubrió tienen nombres como Tus fotos ("Your Photos") y "Post" y comienzan con una notificación de que alguien "ha comentado tu post". Sin embargo, cuando el usuario da click en ese link, es dirigido a una colección de sitios llamada "fucabook.com", muy parecida a la página de inicio de Facebook, que les pide a los usuarios que ingresen sus datos de login para "disfrutar toda la funcionalidad" de la aplicación. Así, roba nuestra información de login y empieza a mandar spam a nuestros amigos. 
También encontró otras aplicaciones con nombres como "Sexo, sexo, sexo y más sexo (Sex, sex and more sex") e Invitaciones de cumpleaños ("Birthday invitations"). Si bien las aplicaciones descubiertas por Ferguson fueron eliminadas, pocos días después aparecieron otras más, pero con nombres distintos, del tipo Amigos ("Friends") y Buscar pareja ("Matching"). Ferguson remarcó que para no caer en estas trampas, basta con seguir la sencilla regla de verificar el URL que aparece en la dirección del browser de cualquier sitio que uno visite para estar complemente seguros de que nos encontramos en Facebook, y no en un sitio malicioso que se parece a Facebook.
Alerta amarilla!!
Más que un fraude, en este caso se trata de una mentira. Quizá ya conoce la figura: Un amigo de su red de contactos actualiza su estatus y pone "Alerta amarilla en la ciudad equis, niña de tres años secuestrada por un hombre en una camioneta plateada de placa # 72B 381. Pon esto en tu estatus, puedes salvar una vida!".
Los detalles cambian pero la idea es esa. Sin embargo, la mayoría de estos mensajes son falsos y esto se puede comprobar fácilmente en sitios como fbi.gov, o incluso en el sitio que se especializa en desmentir leyendas urbanas: snopes.com. Si bien no representan una amenaza seria -como el robo de identidad-, las autoridades policiales se han pronunciado en contra de estas bromas porque desensibilizan a los usuarios respecto a la gravedad de una alerta real. Mientras más alertas falsas circulen, hay más posibilidades de que la gente no haga caso cuando se presente una real. 
Joan Goodchild, editor principal, CSO (US)