Faceworm o la era de amenazas para las redes sociales

10/12/2010

Amenazas para las redes sociales.

Las redes sociales han transformado la manera de interacción entre los individuos, existen campañas de concientización que llaman a los usuarios a utilizar estas herramientas tecnológicas de manera racional no sólo en el empleo, sino también en el contenido que en ellas depositan.

Las políticas de privacidad son un aspecto muchas veces ignorado por una gran cantidad de usuarios que día a día deciden registrarse. Simplemente dan clic en siguiente y aceptar, con la esperanza de aprender sobre la marcha lo que acaba de consentir para el futuro.

Entre las actividades desarrolladas en las redes sociales encontramos la publicación en los muros de texto, videos y fotos, enlaces a otras páginas, creación de grupos, páginas de Internet, navegador, recepción de mensajes, entre otras, lo cual representa un todo en uno.

Entre todo lo que incluye, desafortunadamente también se encuentran las amenazas, tales como virus, gusanos informáticos, caballos de Troya, spam con código malicioso, entre otros. La necesidad de informar sobre estas presencias hace importante a este artículo.

Como antecedente reciente de estas amenazas, basta consultar las predicciones que PandaLabs tenía al respecto a finales del año 2009. En el reporte decía: "en lo que respecta a las redes sociales, ya han existido muchos ejemplos de gusanos y troyanos dirigidos a Twitter y Facebook. Los creadores de malware seguirán siendo atraídos por este tipo de plataformas, ya que atraen a millones de usuarios". 1

La alta popularidad de estos sitios son un factor preponderante para la inyección constante de códigos mal intencionados. Uno de los gusanos que atacó redes sociales en 2009 fue Koobface, el cual una vez detectado, se reconstituyó hasta obtener una variante, ésta se propagó a través de las más populares redes sociales como Facebook, Bebo y MySpace.

El método utilizado: un uso común de las redes, el posteo. "El malware postea invitaciones a los amigos de los usuarios infectados, los anima a echar un vistazo a un video (Vea Fig. 1). El enlace al sitio web trata de ejecutarse y en ese momento inicia el truco, ya que para abrirlo necesitan una actualización al plugin de la versión de Adobe Flash Player. El software ofrecido, es por supuesto, descargado con un Troyano de código específico para Windows. Este código malicioso se incrusta en una puerta trasera y compromete a los equipos con sistema operativo Windows".2

 

 

Las tácticas para propagar la infección van desde el clásico correo electrónico con un adjunto que al abrirlo infecta al equipo a otros más elaborados como sitios phishing, que buscan hacerse pasar por sitios web legítimos para obtener por lo general algún beneficio económico.

Un caso de este tipo de amenazas tuvo lugar el mes de junio de este año, en el cual los delincuentes informáticos echaron mano de las herramientas de Facebook y la ingeniería social para desestabilizar el uso de la red en general. La trampa consistió en lo siguiente: Un grupo falso de "protesta" comenzó a enviar a través de cadenas de correos electrónicos no deseados o spam un mensaje, en el cual se establecía que próximamente Facebook cobraría por sus servicios alrededor de $4.99 dólares por mes a partir de junio o julio, según un reporte falso (Ver Fig. 2).

 

 

Este grupo tenía sitios web a su disposición para servir como plataforma a los interesados en información que respondían al mensaje enviado, lo que estas personas no sabían era que no había tales páginas de protesta, en realidad eran enlaces que dirigían a contenidos con malware.

En respuesta a esta emergencia, la empresa, mediante un portavoz, finalmente "confirmó que el rumor era falso, agregando que ya habían tomado medidas drásticas contra los grupos que difundieron chismes falsos acerca de tarifas en la red social".3

Otro caso de amenazas en redes sociales de este tipo ocurrió en Twitter en octubre de este año, cuando se reportó la existencia de varias páginas falsas de Twitter a través de las cuales aparecían ventanas emergentes, que en caso de dirigirse a estos enlaces prometen llevar a ver chicas desnudas, pero en verdad se trata de aplicaciones maliciosas (Ver Fig.3).

 

 

Una vez descargadas las aplicaciones infectan las cuentas y van contaminando a otros usuarios a quienes se les coloca el mismo mecanismo de engaño.

En este mes de noviembre 2010 han aparecido 2 gusanos en Facebook. El primero de ellos es "who visited", el cual se trata de un enlace "que supuestamente te permite ver el perfil de las personas que han visitado tu perfil. El sitio de red social Orkut de Google tiene la aplicación de ver los más recientes visitantes. Pero, Facebook no cuenta con ninguna aplicación como esa. De modo que, cuando da clic es este enlace lo lleva a una página de fondo negro y le pregunta si permite la aplicación. Al hacerlo, esta aplicación usa su identidad para propagar el link como comentario a todos sus amigos. Cuando Facebook encontró esta aplicación, la desmanteló (Ver Fig. 4)".4

 

 

El segundo gusano se trata de un enlace también el cual se presenta con el asunto "'Do you think you are special? Find it out http://apps.facebook.com/imaginedat/', como lo indica el tópico, éste va cambiando comentario tras comentario. Si se da clic en la liga, el atacante toma el control de forma remota y propaga el comentario a todos los contactos de la cuenta comprometida".5

Este modus operandi de los criminales cibernéticos con tal de conseguir información que les signifique un ingreso económico o de reconocimiento en su ramo ejercerá presión para que continúen mejorando sus estrategias de ataque.

Por si estas amenazas externas no fueran ya bastante, también existen amenazas internas en las redes sociales, las cuales brindan oportunidades a los intrusos para que las exploten, ello eleva el índice de riesgo que la cuenta puede tener.

Un caso particular se dio en septiembre del año pasado, cuando una serie de fallas en aplicaciones de Facebook predisponían a los usuarios a descargar un caballo de Troya, estas vulnerabilidades del tipo cross-site scripting, eran utilizados para distribuir este tipo de malware o lanzar ataques de intrusión.

En total eran 5 las aplicaciones que ejemplificaron lo que pudo haber sido un problema de seguridad general a las aplicaciones de Facebook. También recientemente las aplicaciones de esta red social fueron puestas en tela de juicio al descubrirse que varias de ellas como Farmville, compartían datos personales de los usuarios, lo cual iba en contra de las políticas de privacidad pactadas.

La necesidad de que los proveedores de servicio de redes sociales mejoren las expectativas de seguridad para los usuarios es ineludible, el 8 de noviembre de 2010 se anunció que Facebook y Twitter fallaban en las últimas evaluaciones sobre seguridad, la falta de autentificación del SSL (Secure Socket Layer) representó una desventaja relevante.

La evaluación realizada por un grupo sin fines de lucro llamado "Digital Society" calificó las salvaguardas con las que cuentan los usuarios de las más populares redes como Facebook, Twitter, Gmail y Hotmail, desafortunadamente no hubo buenas noticias, pues en general todas son "susceptibles a ataques que pueden exponer las credenciales de usuarios o cookies de autentificación. Los peores calificados son Facebook y Twitter quienes recibieron la más baja "F", lo que significa reprobados".6

Las bajas calificaciones de estas dos redes va más allá de la falta de autentificación del SSL, pues además "no utilizan medidas de seguridad encriptadas del principio a fin en las sesiones de los usuarios, dejándolas vulnerables a ataques conocidos como 'secuestros de sesión HTTP', en las cuales un atacante roba una cookie del usuario para tomar el control de la cuenta".7

Otra popular red social, la cual cuenta con más de mil millones de usuarios y es atacada ahora constantemente, es YouTube, quien desde hace algún tiempo es usada por los delincuentes indirectamente, ya que hacen sitios falsos del sitio de videos para cometer, en la mayoría de los casos, fraudes bancarios.

Uno de los casos más recientes apareció el 29 de octubre, en el cual los usuarios que erraban en una letra al escribir la URL, caían en el sitio llamado ThankYou. En él aparecían promociones y juegos de azar que prometían grandes premios y recompensas. (Vea Fig. 5)

 

 

Pareciera que el verdadero rostro de las redes sociales son los huecos de seguridad que poseen, mismos que dan oportunidad para que toda clase de códigos maliciosos se infiltren en las cuentas e información de los millones de usuarios que los utilizan. Esta situación dibuja un panorama, en el que pronto las amenazas informáticas "merecerán" su propio sitio, el cual bien podría denominarse Faceworm.

Por lo pronto, reportes sobre este asunto se publican constantemente, dando la alerta a usuarios, proveedores e incluso autoridades de gobierno a que tomen las medidas de precaución más adecuadas, no obstante la respuesta tecnológica para disminuirlas avanza lentamente, casi en un diálogo que se reproduce a cada nuevo malware.

Esto indica que el mejor mecanismo defensivo es adquirir conocimientos mínimos de seguridad de la información entre tanto no aparezca un sistema o código de programación perfecto.

La SSI/UNAM-CERT es una instancia de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación que brinda este servicio a la comunidad universitaria y público en general, su sitio es www.seguridad.unam.mx, para los amateurs dispone del sitio: www.seguridad.unam.mx/usuario-casero.

 

Referencias

1: Mike Sachoff, PandaLabs Predicts 2010 Computer Threats
http://www.securitypronews.com/insiderreports/insider/spn-49-20091217PandaLabsPredicts2010ComputerThreats.html
2: Jonh Leyden, Koobface variant worms across social networking sites
http://www.theregister.co.uk/2009/03/02/koobface_worm_returns/
3: Jonh Leyden, False Facebook charge group used to spread malware
http://www.theregister.co.uk/2010/01/11/facebook_charging_rumour_malfeasance/
4: Munda Sachinari, Worm on Facebook
http://ashq.wordpress.com/2010/11/08/worms-on-facebook/
5: Ibídem
6: Angela Moscaritolo, Facebook, Twitter fail latest security assessment
http://www.securecomputing.net.au/News/237848,facebook-twitter-fail-latest-security-assessment.aspx
7: Ibídem

Liberación original: Viernes, 10 Diciembre 2010
Última revisión: Jueves, 16 Junio 2011

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

Galvy Cruz Valencia
Andrés Leonardo Hernández Bermúdez

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM 
Coordinación de Seguridad de la Información 
Dirección General de Cómputo y Tecnologías de Información y Comunicación 
Universidad Nacional Autónoma de México 
E-Mail: incidentes@cert.unam.mx 
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69