Campaña de scam a través de Apps en Facebook

El día de ayer, investigando un poco en la red acerca de posibles usos maliciosos de Facebook, encontramos en el blog de la empresa de seguridad Sophos, una publicación del 15 de febrero, en la cual se habla de una campaña de scam relacionada con la reportera de CBS Los Angeles, Serene Branson. Y es que el día de la transmisión de los Premios Grammy 2011, desde el Staples Center, la reportera sufrió un mini-ataque, como señalan algunas fuentes, afectándola de tal forma, que durante su enlace en vivo, no pudo pronunciar alguna palabra coherente.

Este incidente fue aprovechado rápidamente por los cibercriminales y a través de la red social, se estuvieron observando publicaciones como la siguiente:

Omg!!! this reporter had a stroke on live tv check it out [LINK]

Decidimos buscar este tipo de mensajes para verificar si todavía estaban disponibles y nos encontramos con la sorpresa de que después de varios dias, los links maliciosos estaban aún activos:

A través del enlace que utiliza el servicio de google para acortar url's, se despliega, en una pestaña fuera de facebook, una página en la cual puede ser observado el video de la reportera en el momento de su colapso, después de permitirle el acceso a la applicación maliciosa.

Cuando el usuario da clic en el botón “HERE” y se encuentra “logueado” en su cuenta, se abre una ventana en la cual se piden permisos para que la aplicacación llamada “Reporter” acceda a su información básica de perfil y pueda publicar en su muro. Esta nueva ventana pertenece a facebook y es completamente válida, aspecto que puede llegar a confundir al usuario para que acepte a la aplicación.

En este punto, no estamos diciendo que facebook forme parte de los engaños a los usuarios, sino más bien, la página maliciosa se está valiendo del API de Facebook para Desarrolladroes que permite hacer este tipo de consultas. Actualmente, cualquier persona puede desarrollar su App para Facebook, lo único que es necesario es un poco de conocimiento en la creación de páginas HTML o programación y leer la documentación disponible en el sitio de la empresa.

¿Pero cómo es posible que estas aplicaciones soliciten permiso para acceder a la información personal de los usuarios?

También, Facebook ofrece el entorno de desarrollo JavaScript SDK, completamente documentado y bastante accesible, el cual permite hacer consultas directas a los perfiles de los usuarios cuando se solicita permiso de un app, entre muchas otras cosas.

Precisamente, en la página fuera de facebook donde se presenta la imagen de la reportera y el botón “HERE”, el creador hace uso del JavaScript SDK para hacer que su aplicación funcione, es decir, obtener la información del usuario que le está concediendo permisos a su aplicación y además, publicar en su muro el enlace de la página maliciosa, para continuar su propagación.

Específicamente, hace uso de las funciones window.fbAsyncInit, FB.init, FB.getLoginStatus y FB.api, exactamente de la manera en que aparece documentado en Facebook:

Con este código se carga el SDK asíncronamente:

Esta parte del código permite obtener cada elemento de la información personal del usuario:

Esta última sección contiene la función login() que se ejecuta a través del parámetro onclick, del botón “HERE” y es la que va a abrir la ventana donde se solicitan los permisos y si el usuario la acepta, publica en el muro el mensaje mencionado al principio de este blog  OMG!!! This reporter..... y abre el link, nuevamente fuera de facebook, que se muestra en el segundo recuadro rojo de la siguiente imagen:

En el blog de Sophos, antes de poder visualizar el video de la reportera, aparece una encuesta generada por los creadores del sitio malicioso, a través de la cual, ellos ganan cierta cantidad de dinero por cada encuesta completada. Al momento de nuestro análisis esta encuesta ya no estaba disponible y únicamente se presentaba un recuadro como el siguiente:

Y el resultado, en nuestro perfil: el mensaje de propagación

Con todo esto, los cibercriminales están logrando varias cosas: primero, tener acceso a la información de tu perfil; segundo, lograr que  la aplicación maliciosa se propague ya que se valen de la curiosidad que el enlace publicado en tu muro, pueda generar en tus amigos y tercero, generar ganancias cuando se completan las encuestas.

Lo único que podemos hacer, para evitar ser parte de estos engaños, es negarle el acceso a cualquier app que creamos sospechosa, inclusive hasta a aquellas que parezcan reales; si es que ya estamos “infectados”, debemos eliminar lo más rápido posible las publicaciones de nuestro muro y lo mejor, será notificar la aplicación para que el equipo de seguridad de facebook, la desactive.