Aquellos que no prestan atención son a menudo los primeros en sucumbir a nuevos hackeos y estafas, y si usa regularmente Facebook, lo que es más probable que no, entonces es posible que deba comenzar a prestar más atención.
Esto es especialmente cierto si prefiere los dispositivos móviles al escritorio.
Los estafadores, después de haber notado que el tráfico móvil ahora es mayor que el tráfico de PC a escala mundial, están comenzando a adaptar sus técnicas para aprovechar a los usuarios de dispositivos móviles. Y viendo cómo los dispositivos móviles tienden a estar menos protegidos que las PC, este es un movimiento ganador para ellos.
Continúe leyendo para obtener más información sobre cómo funciona esta nueva técnica de estafa, qué buscar y cómo puede mantenerse seguro en el futuro.
Cómo funciona la estafa de inicio de sesión de Facebook
La estafa usa una técnica llamada relleno de URL . Una URL típica se compone de tres partes:
- Un dominio (requerido)
http://facebook.com/photo.php?fbid=123456 - Un subdominio (opcional)
http://m.facebook.com/photo.php?fbid=123456 - Un camino (opcional)
http://m.facebook.com/photo.php?fbid=123456
Como usuario móvil, sin duda ha visto m.facebook.com en la barra de direcciones de su navegador mientras usa Facebook. Esta es la combinación de dominio + subdominio que muestra que está en la versión móvil del sitio de Facebook. Cuando lo ves, te sientes seguro.
El relleno de URL es cuando un estafador crea un subdominio en un dominio completamente diferente para hacerse pasar por un sitio, y "rellena" el subdominio con caracteres inocuos para hacer que los usuarios piensen que están en el sitio real.
Aquí hay un ejemplo de URL de PhishLabs:
http://m.facebook.com----------------validate----step1.rickytaylk.com/sign_in.html Visitar el sitio le presenta una réplica exacta de la versión móvil actual de la página principal de Facebook, solicitándole que ingrese sus credenciales para que pueda iniciar sesión. Un usuario entendido pero poco atento puede echar un vistazo a la URL, ver m.facebook.com, considere la costa libre e inicie sesión.
Una vez que ingresas tus credenciales, el juego termina. El sitio presentará un error discreto (por ejemplo, desajuste de contraseña) pero el daño ya estará hecho: han almacenado su nombre de usuario y contraseña, y ahora pueden acceder a su cuenta de Facebook real o usar esas credenciales para tratar de entrar en sus otras cuentas: Gmail, Amazon, PayPal, bancos, etc.
Los lectores entusiastas notarán que el dominio real de esta URL sospechosa es rickytaylk.com y tiene tres subdominios anidados debajo de él:
com----------------validate----step1facebookm
Probablemente lo veas como una URL obviamente timorata si la encontraras en una PC, pero esto es lo que vería un usuario móvil:
Las URL acolchadas se pueden enviar a través de todo tipo de métodos de comunicación: correo electrónico, mensajes de texto, aplicaciones de mensajería y más.
Lo triste es que las URL falsas no son nada nuevo. A principios de este año, se descubrió un exploit en Chrome (y otros navegadores basados en Chromium) donde las URL podrían modificarse para aparecer como otras URL. Afortunadamente, el error fue corregido antes de que los estafadores pudieran ir a la ciudad con él, pero muestra que confiar en una URL no es más que una tontería.
Cómo proteger su cuenta de Facebook
La única manera de protegerse contra una URL acolchada es aprender a detectar mensajes de phishing y, lo que es más importante, solo visitar sitios web confidenciales escribiendo dominios directamente en la barra de URL de su navegador.
Es un inconveniente menor, pero vale la pena. Lo hago todo el tiempo, especialmente cuando consulto cuentas bancarias y uso de sitios de comercio electrónico. Con el tiempo, será una segunda naturaleza y su tasa de estafas caerá en picado.
¿Qué pasa si ya te has enamorado? ¿O qué pasa si alguien, por otros medios, tiene en sus manos sus credenciales de inicio de sesión de Facebook? Aquí hay algunas cosas adicionales que puede hacer para mantenerse seguro.
Use contraseñas únicas
Uno de los peores errores de contraseña es usar la misma contraseña para todas sus cuentas.
¿Sabes cómo la mayoría de los servicios requieren un correo electrónico para registrarse? Bueno, si eres como la mayoría de las personas, usas la misma dirección de correo electrónico para todos los servicios. En ese caso, si alguien averigua su contraseña para una cuenta, ahora ellos inadvertidamente tienen acceso a todas sus cuentas.
Al usar una contraseña diferente para cada cuenta y no repetirlas, puede limitar el daño considerablemente. ¿No crees que puedes mantener todas esas contraseñas directamente en tu cabeza? Comience a usar un administrador de contraseñas como LastPass 5 Mejores alternativas de LastPass para administrar sus contraseñas 5 Mejores alternativas de LastPass para administrar sus contraseñas Muchas personas consideran que LastPass es el rey de los administradores de contraseñas; está lleno de funciones y cuenta con más usuarios que cualquiera de sus competidores, ¡pero está lejos de ser la única opción! Lea más y nunca más tendrá que preocuparse por las contraseñas.
Utilice códigos y aprobaciones de inicio de sesión
Quizás lo mejor que puede hacer por su seguridad en Facebook es habilitar la verificación en dos pasos Cómo configurar la autenticación de dos factores en todas sus cuentas sociales Cómo configurar una autenticación de dos factores en todas sus cuentas sociales Veamos qué plataformas de medios sociales admite la autenticación de dos factores y cómo puede habilitarla. Lee mas . Con la verificación en dos pasos habilitada, puede agregar capas adicionales de protección con Aprobaciones de inicio de sesión y Generador de código .
Con Aprobaciones de inicio de sesión, Facebook envía un mensaje de texto SMS a su teléfono cada vez que alguien intente iniciar sesión en él. El mensaje de texto contiene un código numérico que se debe ingresar para otorgar acceso. Incluso si alguien tiene su contraseña, no podrán iniciar sesión si no tienen su teléfono también.
Code Generator es una característica similar que existe en la aplicación móvil de Facebook. La aplicación en sí genera un código que se debe ingresar para iniciar sesión en Facebook desde otro dispositivo. Es una buena alternativa cuando no tienes una conexión a Internet o mensajes de texto SMS.
Utilice las claves de seguridad U2F
Una clave de seguridad U2F Los pros y contras de los tipos y métodos de autenticación de dos factores Los pros y contras de los métodos y tipos de autenticación de dos factores Los métodos de autenticación de dos factores no se crean iguales. Algunos son demostrablemente más seguros y seguros. Aquí le presentamos los métodos más comunes y cuáles satisfacen mejor sus necesidades individuales. Leer más es un dispositivo físico que se asemeja a una unidad flash USB. En lugar de vincular la verificación en dos pasos a su teléfono (como con las Aprobaciones de inicio de sesión y el Generador de código), confirma los inicios de sesión al enchufar la clave U2F en el dispositivo con el que está iniciando sesión.
Facebook no es el único sitio que admite U2F; otros incluyen Gmail, YouTube, WordPress, GitHub, y la lista está creciendo, pero deberá usar Chrome u Opera para que funcione.
La clave de seguridad de Thetis U2F es asequible y se puede comprar en Amazon (solo necesita una clave por persona), pero hay más costosas con más funciones. Por ejemplo, el YubiKey NEO admite NFC, por lo que puede tocarlo (bueno para teléfonos inteligentes y tabletas).
Yubico YubiKey NEO - Autenticación USB-A, NFC, de dos factores Yubico YubiKey NEO - Autenticación USB-A, NFC, de dos factores Comprar ahora En Amazon $ 50.00
Nota: Tenga cuidado al usar Aprobaciones de inicio de sesión, Generador de código y claves de seguridad U2F. Si alguna vez pierde su autenticador de segundo paso (es decir, su teléfono o clave U2F), aquí tiene cómo recuperar su cuenta de Facebook. Cómo recuperar su cuenta de Facebook cuando ya no puede iniciar sesión Cómo recuperar su cuenta de Facebook cuando ya no puede Iniciar sesión ¿Olvidó su contraseña y ya no puede iniciar sesión? ¿O fue pirateada su cuenta? Así es como puedes recuperar tu cuenta de Facebook. Lee mas .
Más consejos para evitar estafas en la Web
El relleno de URL es solo lo último en la historia de fallas y fallas de Facebook. Para mayor seguridad, sepa qué hacer si se piratea su cuenta de Facebook 4 cosas que debe hacer inmediatamente cuando se piratea su cuenta de Facebook 4 cosas que debe hacer inmediatamente cuando se piratea su cuenta de Facebook Tener una cuenta de Facebook pirateada es una pesadilla. Un extraño ahora tiene acceso a toda su información personal y podría hostigar a sus amigos y seguidores. Esto es lo que puedes hacer para contener el daño. Lee mas . El malware también es un gran riesgo, así que mantente al tanto de la prevención y eliminación de malware y virus de Facebook. Cómo prevenir y eliminar el malware o virus de Facebook. Cómo prevenir y eliminar el malware o Facebook El malware de Facebook es una amenaza, pero no es necesario. preocúpate si sigues este consejo. A continuación se explica cómo evitar el lado desagradable de Facebook. Lee mas .
¿Has encontrado relleno de URL en Facebook? ¿Cómo se puede mantener segura su cuenta de Facebook? ¡Comparte con nosotros en un comentario a continuación!
Crédito de la imagen: Brian A Jackson a través de Shutterstock.com