En los últimos días han comenzado a aparecer mensajes privados recibidos a través de Facebook Messenger, remitidos por algún contacto, en los que se muestra un enlace y un escueto mensaje: «¿Eres tú el que aparece en este vídeo?».
Cuando se abre dicho mensaje el receptor desprevenido pulsará sobre el enlace, que le lleva a una página web de diseño idéntico al de Facebook, con dos campos en los que pide introducir el nombre de usuario y la contraseña de dicha red social para iniciar sesión.
Indica el portal trecebits que la confusión está servida y si no se repara en que realmente se está accediendo a una página web que nada tiene que ver con la red social fundada por Mark Zuckerberg se habrá proporcionado a un desconocido la contraseña de la cuenta en Facebook.
El detalle puede pasar desapercibido quizá en un smartphone pero en un ordenador resulta más evidente, al abrirse dicho enlace malicioso en el navegador, que la dirección URL que aparece en la barra de direcciones no guarda ninguna relación con Facebook. En algunos casos la dirección es similar a «http://confident–archimedes–ce9973-netfly-app.translate.goog».
La indicación que aparece en pantalla «Facebook necesita verificar su cuenta para permitir el acceso al vídeo» invita a introducir el correo electrónico o el número de teléfono, junto con la contraseña, algo que evidentemente no debe hacerse ante el riesgo de ceder esa información a quien se está haciendo pasar por la red social con el objetivo de robar el control sobre sus cuentas en Facebook a sus legítimos propietarios.
Se trata de un tipo de ataque denominado phising, y consistente en ganarse la confianza del usuario haciendo pasar un mensaje por el que enviaría alguien conocido. En el mismo se añade alguna mención o invitación que pueda despertar el interés y provocar el acceso a una web externa o la activación de algún malware con el pretexto de verificar la cuenta de usuario en distintas plataformas, redes sociales o servicios de correo electrónico, siendo también habitual que el contenido se refiera a cuentas bancarias, con el peligro adicional que comporta en este caso.
Ante estos supuestos la recomendación más evidente es la de no introducir nunca nombre de usuario ni contraseña en sitios web que no sean los legítimos y en caso de recibir comunicaciones de este tipo de algún conocido ponerlo en su conocimiento porque es posible que su cuenta ya haya sido hackeada y deba proceder a modificar su contraseña, además de ponerlo en conocimiento de la propia plataforma.
