Según la compañía de ciberseguridad ESET, con el fin de tomar control de las cuentas verificadas de usuarios de Twitter, delincuentes cibernéticos se hacen pasar por un centro de soporte oficial de la red social, por medio de perfiles falsos que crean bajo el nombre de “Feedback Center”.
Con lo anterior, estos atacantes se hacen pasar por canales oficiales de soporte para lograr captar rápidamente la atención de la potencial víctima, a quien le envían una notificación o mensaje indicándole que se encuentra en medio de un supuesto caso de violación de identidad de la cuenta.
Posteriormente, en dicho mensaje le señalan al usuario que debe llenar cuanto antes un formulario con información personal para verificar si en verdad se trata del acreedor de la cuenta de Twitter, porque de lo contrario será suspendida y se le retirará la marca de verificación.
Sin embargo, la primer pista para identificar que esto se trata un intento de “Phishing” es al abrir el sitio web en el que supuestamente se debe llenar el formulario, ya que para nada está relacionado con la red social y no tiene ningún identificador de la empresa en la URL o en los elementos mismos del sitio, a excepción de el ícono del pájaro.
En todo caso, a quienes han caído en la trampa, después de ingresar su nombre de usuario, les solicitan registrar la contraseña, la dirección de correo electrónico y el número de teléfono.
Pero como agravante, en el siguiente paso los criminales cibernéticos piden a la persona volver a digitar la contraseña para comprobar que es correcta.
Cómo un último paso, solicitan el código de verificación que le fue enviado al correo electrónico, esto con el fin de evadir la autenticación en dos pasos y poder continuar con el robo exitosamente.
Sin embargo, esta campaña de robo ha sido denunciada por los usuarios rápidamente en la red social y según estos reportes, aún existen varias cuentas falsas activas intentando estafar a personas.
Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, indica que, “Si bien esta campaña está en inglés, los ciberdelincuentes han contactado a usuarios de distintos países, por lo tanto no sería extraño que puedan contactar a usuarios de América Latina con cuentas verificadas. Es importante recordar también, nunca entregar datos personales cuando la solicitud llega de forma inesperada y sin que hayas solicitado algo.”
Como recomendación, se sugiere a los usuarios que si les llegan a enviar este tipo de mensajes directos, se debe revisar la marca de verificación de la cuenta emisora, asegurarse que no sea un perfil recientemente creado y que posea varios seguidores como muestra de confianza. Sin embargo, no está de más contactar con los canales oficiales de la red social para verificar que se trate de una notificación legítima de la compañía.
Como se mencionó anteriormente, esta modalidad de crimen cibernético se enmarca dentro de lo que se conoce como Phishing, un tipo de robo informático con el que se busca acceder a información sensible de las personas como cuentas, nombres de usuarios, claves o datos bancarios por medio de correos electrónicos que le envían a potenciales víctimas.
Finalmente, en este tipo de trampas cibernéticas, dejar el número de teléfono en un sitio malicioso resulta sumamente peligroso, ya que a través de este podrían estar llevando a cabo suplantaciones de identidad y otro tipo de delitos por internet.
