Unos investigadores han descubierto una operación de phishing de larga duración que se aprovecha de servicios de confianza de Google para secuestrar decenas de miles de Facebook .
Facebook afectadas son principalmente perfiles de empresas y anunciantes, que los delincuentes pueden monetizar tras obtener acceso y control sobre ellas.
Los atacantes han encontrado una forma de enviar correos electrónicos de phishing que parecen proceder «de Google», lo que les da un aspecto legítimo a primera vista. Los correos se envían a través de la plataforma AppSheet de Google, por lo que superan los controles técnicos habituales (SPF, DKIM, DMARC), y muchos filtros de correo electrónico los consideran fiables.
Google AppSheet es una plataforma de desarrollo que permite crear aplicaciones móviles y web sin necesidad de escribir código. Permite automatizar flujos de trabajo y notificaciones, y suele utilizarse para enviar alertas generadas por la aplicación y actualizaciones internas.
Y ahí es donde los phishers se aprovecharon de ello. El nombre del remitente se puede personalizar, y la dirección de envío puede tener un aspecto similar a noreply@appsheet.com, impartido a través de appsheet.bounces.google.com. Para el usuario medio, parece una notificación totalmente normal; en estos casos, suele tratarse de infracciones Facebook , reclamaciones por derechos de autor o problemas de verificación.
Los investigadores relacionaron estos correos electrónicos con una operación vinculada a Vietnam que ya ha comprometido unas 30 000 Facebook y que sigue activa.
Las cuentas robadas son, en su mayoría, páginas y perfiles empresariales que tienen valor económico: cuentas publicitarias, páginas de marcas y empresas que dependen de Facebook su marketing. Una vez dentro, los atacantes llevan a cabo estafas, publican anuncios fraudulentos o venden el acceso a otras personas. En algunos casos, el mismo grupo ofrece servicios de «recuperación de cuentas» para solucionar los problemas que ellos mismos han creado.
¿Estafa o es de fiar? Scam Guard lo sabe.
Sea cual sea el señuelo, el objetivo es siempre el mismo: Facebook , códigos de autenticación de dos factores y datos de recuperación. Los sitios de phishing no son más que el punto de entrada. Detrás de ellos se esconde una infraestructura bastante sofisticada, basada en bots y canales de Telegram, destinada a recopilar y procesar los datos robados.
Cómo mantenerse seguro
Esta campaña no es «otro correo de phishing más». Es un ejemplo más de cómo los atacantes se aprovechan de la confianza que depositamos en las principales plataformas.
Facebook envía reclamaciones, solicitudes de verificación, comprobaciones de seguridad, ofertas de empleo ni otros mensajes urgentes a través de la infraestructura de Google.
- Cualquier correo electrónico en el que se afirme que tu Instagram Facebook Instagram está a punto de ser desactivada, bloqueada o sancionada merece un análisis más detallado, sobre todo si exige que se tomen medidas en un plazo de 24 horas.
- Si recibes un mensaje preocupante sobre tu cuenta, ve directamente a facebook.com o a la Facebook . No hagas clic en los enlaces del mensaje.
- Si un formulario te pide la contraseña, varios códigos de autenticación de dos factores, la fecha de nacimiento, el número de teléfono y fotos de tu documento de identidad de una sola vez, detente. Ese es el «paquete completo de recuperación» que necesitan estos atacantes para hacerse con el control de tu cuenta.
- Configura la autenticación de dos factores (2FA) en Facebook y activa las alertas de inicio de sesión para nuevos dispositivos y ubicaciones.
- Ten cuidado con los mensajes extraños que recibas de Facebook . Es posible que la cuenta haya sido pirateada.
Consejo de experto: Malwarebytes Guard puede ayudarte a detectar correos electrónicos y mensajes de phishing en cualquier plataforma. Incluso puedes utilizarlo en Claude y ChatGPT.
