Existen diversos casos de “phishing”, técnica que consiste en la obtención de información sensible como nombres de usuarios y contraseñas a través de la suplantación de la imagen de una conocida compañía que simula pedir ese tipo de datos utilizando amenazas verbales como que si no se ingresa lo solicitado, la cuenta será deshabilitada.
A diferencia del malware que puede robar este tipo de datos automáticamente, en los ataques de phishing es el usuario quien suministra la información de forma manual una vez que el cibercriminal ha logrado convencerlo de hacer tal acción.
En este caso el blanco elegido por los atacantes no es ni un banco, aerolínea o tarjeta de crédito, es Twitter, la red social que se caracteriza por su estilo acotado de 140 caracteres y el gran alcance mediático que generan los mensajes que son compartidos a través de la misma.
Abusando de todas esas ventajas, los ciberdelincuentes están empleando como temática de ingeniería social, afirmaciones que apelan directamente a la curiosidad de la potencial víctima, alertó la empresa de seguridad informática Eset.
“Tuits” o mensajes en inglés sobre supuestos rumores malintencionados o cosas “muy malas” son los ganchos que buscan cautivar al usuario para que haga clic sobre el enlace fraudulento.
Si la persona no es precavida y sigue dicho hipervínculo, estará ingresando a un sitio malicioso que solicita las credenciales de acceso a Twitter.
Para hacer más real el phishing, se utiliza la excusa que esa información es necesaria debido a que ha transcurrido un período largo de inactividad por parte del usuario y que la sesión ha sido cerrada como medida de seguridad.
Aunque por el momento sólo se han detectado mensajes en inglés, es posible que este ataque de phishing sea traducido a otros idiomas como el español con tal de aumentar aún más la cantidad de afectados.
Realizando un análisis detallado hemos encontrado que al menos 31.000 usuarios han sido víctima de este phishing, quedando a merced de los ciberdelincuentes información como nombres de usuarios, correos electrónicos y contraseñas, señaló Eset.
Al igual que lo que sucede con otros ataques similares, se recomienda no seguir ningún hipervínculo ni menos ingresar información sensible al abrir un enlace.
También es importante comprobar cuidadosamente la dirección a la cual se está accediendo inspeccionándola visualmente en la barra de direcciones del navegador web.