Incidentes Asociados
Las redes sociales se utilizan ampliamente en marketing, ayudando a las empresas a generar anuncios que atraen a clientes potenciales. Pero ¿qué pasaría si recibieras un correo electrónico con el mensaje "SUS ANUNCIOS ESTÁN SUSPENDIDOS TEMPORALMENTE"? ¿Qué harías? La urgencia del correo llama tu atención al instante, y tu primer pensamiento podría ser hacer clic e investigar, con la esperanza de solucionarlo rápidamente. Sin embargo, en lugar de solucionarlo, podrías acabar con tu cuenta empresarial hackeada. El Centro de Defensa contra el Phishing de Cofense (PDC) ha descubierto una nueva campaña de phishing que engaña a los usuarios para que proporcionen acceso a sus cuentas Meta Business. Si bien los intentos de phishing en redes sociales son frecuentes, este fue más allá al emplear un falso soporte de chat, proporcionar instrucciones detalladas e intentar agregarse como un método de inicio de sesión seguro. 
Figura 1: Correo electrónico malicioso
La campaña de phishing comienza cuando la víctima recibe una alerta falsa de Instagram con el tema "ID de soporte: #xxxx - Restricciones publicitarias críticas en su cuenta", como se muestra en la Figura 1. Indica que el usuario ha infringido las leyes publicitarias, mencionando las políticas de Instagram y el RGPD de la UE, y que, como resultado, los anuncios se han suspendido. Este es un patrón común observado en estos correos electrónicos de phishing que suplantan las credenciales de Instagram/Meta. Se le pide al usuario que haga clic en el botón "Ver más detalles" para resolver este problema. Es fácil ver cómo esto podría engañar a los usuarios, especialmente con cada vez más empresas que dependen de las plataformas de redes sociales para su publicidad. Esto plantea una preocupación seria y urgente, ya que puede interrumpir las operaciones comerciales diarias y hacer que estas empresas pierdan clientes potenciales. Sin embargo, es importante tener en cuenta que la dirección de no proviene del correo electrónico de soporte oficial de Instagram (support@instagram[.]com), sino de (noreply@salesforce[.]com). Al hacer clic en el hipervínculo "Ver más detalles" del correo electrónico, los usuarios son redirigidos a una página fraudulenta que les informa que su cuenta corre el riesgo de ser suspendida y cancelada, como se muestra en la Figura 2 a continuación. Al comparar esto con una página legítima de Meta Business, la mayoría de la gente pensará que no hay nada fuera de lo común. Sin embargo, una revisión más detallada de la URL en la barra de direcciones del navegador revela que no se encuentran en un dominio Meta legítimo, sino que muestran (businesshelp-manager[.]com).
Figura 2: Página de destino de la URL de infección inicial
Al hacer clic en el botón "Solicitar revisión", se le pide al usuario que ingrese su nombre y correo electrónico profesional para acceder a un agente de soporte por chat, como se muestra en las Figuras 3 y 4 a continuación. Esto lo llevará a una página diferente donde se realiza el resto del intento de phishing. Según nuestro análisis, el atacante pretende secuestrar las cuentas de Business Meta registrándose como "Inicio de sesión seguro" a través de la función de autenticación de Meta. El atacante lo hace de dos maneras diferentes: con un falso chatbot de soporte técnico o con una supuesta "guía de configuración" con instrucciones paso a paso.
Figura 3: Página de inicio - Formulario de información del chatbot
Figura 4: Chatbot - Conversación inicial, parte 1
El agente de amenaza (AT) también proporciona una guía instructiva para agregar la autenticación de dos factores (2FA) a la cuenta empresarial del usuario, como se muestra en la Figura 5 a continuación. Este es un método secundario de robo de cuenta que utiliza el asistente técnico si el intento de phishing del chatbot no tiene éxito. Este método imita una forma de reparar la cuenta del usuario por cuenta propia. Para acceder, se puede hacer clic en "Ver estado de la cuenta" (en la parte central derecha de la página), que muestra instrucciones detalladas sobre cómo iniciar una "Comprobación del sistema" y solucionar el problema por sí mismo. Desde la perspectiva del usuario, está reparando su cuenta más rápido en lugar de tener que recurrir a un chatbot de soporte. Sin embargo, al emular los pasos indicados, el atacante obtiene otra forma de iniciar sesión en la cuenta Business Meta a través de la aplicación de autenticación del hacker, "SYSTEM CHECK", lo que le brinda al actor de amenazas múltiples maneras de secuestrar la cuenta.*
*
* 
*
Figura 5: Instrucciones paso a paso para agregar la autenticación de dos factores (2FA)
Durante nuestras pruebas, obtuvimos una copia del video instructivo del hacker, que detalla cómo engaña al usuario para que agregue su cuenta como una autenticación de dos factores (2FA), como se muestra en el video a continuación.
La principal táctica que utiliza esta campaña de phishing para robar a los usuarios es un chatbot de soporte falso. Si las víctimas deciden chatear con el falso cliente de soporte, primero se les pregunta por sus cuentas profesionales. El atacante incluso les pide capturas de pantalla de sus cuentas profesionales, posiblemente para evaluar a las víctimas. Si lo considera oportuno, les indica cómo realizar una "COMPROBACIÓN DEL SISTEMA". El diálogo inicial del chat de soporte se puede ver en la Figura 6 a continuación. Como medida de seguridad, el agente también solicita un número de contacto en caso de que se corte la comunicación. Si la víctima continúa con el falso chat de soporte, se le pide que acceda a la configuración de su página profesional en Facebook y proporcione una captura de pantalla. El agente explica que el usuario ha infringido ciertas normas publicitarias y debe ser suspendido. El agente de soporte solicita entonces que confirme la información privada del usuario y que proporcione capturas de pantalla de su página de información personal. Podemos ver cómo se desarrolla un chat típico en las Figuras 7 y 8 a continuación.
Figura 6: Chatbot - Conversación inicial, parte 2
.PNG "metablog_Figure-6-(1).PNG")
Figura 7: Chatbot - Página de negocios Captura de pantalla
Figura 8: Chatbot - Motivo de la alerta e información personal - Captura de pantalla
Tras seguir todas las instrucciones del soporte del chat, se le pide al usuario que haga clic en "Activar comprobación del sistema". Al hacer clic, la página se recarga y le pide al usuario que introduzca su contraseña de Facebook, como se muestra en las figuras 9 y 10 a continuación.
*Figura 9: Chatbot -- Activar comprobación del sistema*
.PNG "metablog_Figure-10-(2).PNG")
Figura 10: Página de metaphishing
Esta campaña de phishing sirve como un claro recordatorio de las crecientes amenazas que enfrentan las empresas para proteger sus credenciales en redes sociales. Los usuarios deben ser cautelosos y verificar todas las comunicaciones antes de responder. La campaña demuestra una gran atención al detalle, con correos electrónicos y páginas de destino que se asemejan mucho a comunicaciones legítimas. Además, la inclusión de soporte técnico en vivo añade un nivel adicional de engaño, haciendo creer a los usuarios que están interactuando con el equipo de soporte oficial de Meta. Siempre verifique el remitente y examine cuidadosamente la URL antes de realizar cualquier acción. Dado que las tácticas de phishing siguen evolucionando, es crucial que los usuarios estén alerta y reporten cualquier actividad sospechosa con prontitud para prevenir posibles daños.