Un nuevo ataque de phishing está utilizando los chatbots de Facebook Messenger para hacerse pasar por el equipo de soporte de la empresa y robar las credenciales que se usan para administrar las páginas de Facebook.
Los chatbots son programas que se hacen pasar por personas de soporte en vivo y se usan comúnmente para brindar respuestas a preguntas simples o clasificar casos de soporte al cliente antes de que se entreguen a un empleado en vivo.
En una nueva campaña descubierta por TrustWave, los actores de amenazas usan chatbots para robar las credenciales de los administradores de las páginas de Facebook, comúnmente utilizadas por las empresas para brindar soporte o promocionar sus servicios.
Chatbots en Facebook Messenger
El ataque de phishing comienza con un correo electrónico que informa al destinatario que su página de Facebook ha violado los Estándares de la comunidad, dándole 48 horas para apelar la decisión, o su página será eliminada.
Correo electrónico de phishing enviado a objetivos aleatorios (TrustWave)
Supuestamente, al usuario se le ofrece la oportunidad de resolver el problema en el centro de soporte de Facebook y, para acceder, se le insta a hacer clic en el botón “Apelar ahora”.
Hacer clic en ese botón lleva a la víctima a una conversación de Messenger donde un chatbot se hace pasar por un agente de atención al cliente de Facebook.
La página de Facebook asociada con el chatbot es una página comercial estándar sin seguidores ni publicaciones. Sin embargo, si una víctima verificó el perfil, vería un mensaje que indica que el perfil responde “muy receptivo a los mensajes”, lo que indica que se usa activamente.
El chatbot enviará a la víctima un botón “Apelar ahora” en Messenger, que lleva a las víctimas a un sitio web disfrazado de “Bandeja de entrada de soporte de Facebook”, pero la URL no es parte del dominio de Facebook.
Además, como señala TrustWave, el número de caso en esa página no coincide con el que presentó el chatbot anteriormente, pero es poco probable que esos detalles expongan el fraude a los usuarios en pánico.
La página principal de phishing, que se muestra a continuación, solicita a los usuarios que desean apelar la decisión de eliminación de la página que ingresen su dirección de correo electrónico, nombre completo, nombre de la página y número de teléfono.
Después de ingresar estos datos en los campos y presionar el botón “Enviar”, aparece una ventana emergente solicitando la contraseña de la cuenta. Después de eso, toda la información se envía a la base de datos del actor de amenazas a través de una solicitud POST.
Finalmente, se redirige a la víctima a una página falsa de 2FA donde se le insta a ingresar la OTP que recibió por SMS en el número de teléfono proporcionado. Esa página aceptará cualquier cosa, por lo que solo está ahí para crear una falsa sensación de legitimidad en todo el proceso.
Después de la verificación, las víctimas llegan a una página real de Facebook que contiene pautas de propiedad intelectual y derechos de autor que supuestamente son relevantes para la violación del usuario.
Debido a que el ataque de phishing está automatizado, la explotación real de las credenciales robadas puede llegar en una fase posterior, por lo que los actores de la amenaza deben crear esta falsa sensación de legitimidad en la mente de las víctimas para retrasar las acciones de reparación de la infracción.
Los actores de amenazas utilizan cada vez más los chatbots en los ataques de phishing para automatizar el robo de credenciales y aumentar el volumen de sus operaciones sin gastar recursos o tiempo considerables.
Estos tipos de estafas son más difíciles de detectar, ya que muchos sitios utilizan IA y chatbots como parte de sus páginas de soporte, lo que hace que parezcan normales cuando se encuentran al abrir casos de soporte.
Como siempre, la mejor línea de defensa contra los ataques de phishing es analizar las URL de las páginas que solicitan credenciales de inicio de sesión y, si los dominios no coinciden con la URL normal del sitio legítimo, no ingrese ninguna credencial en ese sitio.
Fuente: bleepingcomputer
