Estafa en Facebook: Self XSS scams, diseñados para poner en peligro su propia cuenta

sábado, 20 de septiembre de 2014

Estafa en Facebook: Self XSS scams, diseñados para poner en peligro su propia cuenta

No se trata de una publicación falsa o de un enlace a un video malicioso, sino de una nueva técnica para engañar a los usuarios de Facebook que los estafadores han utilizado con la finalidad de inyectar o colocar código malicioso de Javascript del lado del usuario, directo en el navegador.

Este código malicioso podría permitir a un atacante tener acceso a las cuentas de las víctimas y poder utilizarlas para hacer fraudes, enviar correo electrónico no deseado y generar nuevos ataques al publicar el engaño en el muro de los amigos de las víctimas. Esta técnica es conocida como Self XSS, Auto-XSS, o Self Cross-Site Scripting.

El Self XSS es el resultado de combinar la ingeniería social con una vulnerabilidad del navegador de Internet, diseñada básicamente para engañar a los usuarios de Facebook y que otorguen acceso a su cuenta. Cuando el atacante ya tiene acceso a la cuenta, puede publicar y comentar cosas en nombre del usuario engañado.

Para poder infectar a los demás usuarios de Facebook, el atacante manda un mensaje fraudulento a través de un correo electrónico o de una publicación de Facebook de uno de los amigos de la víctima, el mensaje indica que para poder atacar a otro usuario de Facebook se deben seguir los siguientes pasos:

Visitar el perfil de la víctima.
Dar clic derecho en la página, elegir la opción "Inspeccionar Elemento" y despues dar clic en la pestaña "Consola".
Pegar el código ubicado en la URL: http:/// textuploader .com/*****/ en la sección inferior para introducir texto.

Buena suerte: *

Nadie saldrá herido.

Una vez que este código ha sido inyectado en la cuenta, dará al atacante acceso a toda la cuenta para realizar una gran cantidad de actividades maliciosas. El atacante también podrá infectar la computadora de la víctima con software malicioso para poder recolectar información bancaria y enviarlos a una ubicación remota.

La mejor manera de que los usuarios se protejan es detectando y reportando estos engaños.

En caso de haber sido víctima de un engaño similar, por favor visita el siguiente enlace para poderproteger tu cuenta de Facebook.

Nota: el enlace anterior requiere que ingreses tu contraseña de Facebook para reportar el ataque.

Facebook está trabajando con varios desarrolladores de navegadores de Internet para poder agregar protección en el navegador y así poder prevenir que este vector de ataque sea explotado.

Fuente: Forospyware.com

No hay comentarios:

Publicar un comentario

¿Cómo evitar ser víctima de un Malware?

El punto más importante es adoptar un comportamiento seguro y precavido. Debemos evitar descargar e instalar programas desconocidos, no siga enlaces provenientes de correos y mensajes para acceder a servicios bancarios, dude de cualquier email sospechoso.

Es importante, también, que mantenga protegido el sistema con soluciones de seguridad como: antivirus, cortafuegos, filtros antispam, etc. En este sentido, es muy importante mantener actualizado el sistema operativo y todos los programas instalados.

Malware

Malware (del inglés “malicious software”), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.

El software se considera malware en función de los efectos que provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.

sábado, 20 de septiembre de 2014