Facebook (en rigor, Meta) inició acciones legales con el objetivo de interrumpir e investigar lo que considera una mega campaña de phishing que involucra a las marcas bajo el paraguas de la firma de Mark Zuckerberg.
La compañía presentó una demanda en los Estados Unidos (en tribunales de California) para “descubrir la identidad” de los sujetos que han creado más de 39 mil sitios web que están cuidadosamente diseñados para engañar a usuarios de Facebook, Instagram y WhatsApp.
El objetivo: quedarse con los nombres de usuarios, correos electrónicos y contraseñas de inicio de sesión.
Meta dice que los estafadores usan un servicio de retransmisión llamado “Ngrok” para redirigir a los usuarios a sus sitios web, sin que estos lo adviertan.
Una vez allí, “pescan” los datos de inicio de sesión.
Por medio de Ngrok, pueden ocultar la verdadera ubicación de los sitios web de phishing y la identidad de sus proveedores de alojamiento, dice Facebook.
Meta alerta por casos de phishing en Facebook, Instagram y WhatsApp
La estrategia de phishing fue detectada por Meta en marzo de 2021 y desde entonces trabaja para suspender decenas de miles de URL vinculadas a la campaña.
En la demanda, a la que tuvo acceso The Verge, Meta no sólo se refiere a ataques de phishing, sino que también plantea problemas con infracciones relacionadas con los derechos de autor.
La firma de Zuckerberg dice que los acusados usan los logos y los nombres de marcas comerciales de Facebook, Instagram y WhatsApp en sus páginas de inicio de sesión falsas como una estrategia más de engaño a los usuarios.
“Al crear y difundir URL de sitios web de phishing, los acusados se representaron falsamente a sí mismos como Facebook, Messenger, Instagram o WhatsApp, sin la autorización de los demandantes”, dice la denuncia.
“Los demandantes se ven afectados en forma negativa por la estrategia de phishing de los demandados y padecen de daños a sus marcas y su reputación, además de los problemas que ocasiona a los usuarios”, agrega el texto que ya está en poder los tribunales californianos.
Hace un par de años, Instagram agregó una herramienta para tratar de ayudar a los usuarios a evitar los ataques de phishing. Fue por medio de una verificación que permite verificar que el correo electrónico que se recibe es en realidad de esa red social.
Las marcas de Meta (Facebook, Instagram y WhatsApp) no son las únicas afectadas en los últimos meses.
En octubre, Alphabet alertó sobre otra mega campaña de phishing que intentó robar las cookies de inicio de sesión de los creadores de contenido de YouTube. En muchos casos, lo lograron y obtuvieron el acceso a nombres de usuarios y contraseñas.