Los problemas en las redes sociales es que siempre habrán personas que dupliquen las identidades de otras haciéndose pasar por estas . Los “phishers” las diseñan con el objetivo de recolectar información confidencial. En diciembre de 2012, un sitio de phishing (que suplantaba a Facebook) afirmó tener una aplicación para evitar que se vulneraran las cuentas de Facebook. El mismo, se alojaba en un sitio Web con hosting gratuito.
El sitio de perfiles falsos solicitaba a los usuarios que ingresaran sus datos de inicio de sesión a Facebook para obtener acceso a la aplicación de seguridad. Asimismo, los usuarios debían ingresar un código de confirmación generado al hacer clic en un botón determinado. Los phishers probablemente creían que esta página de aplicación falsa parecería más auténtica al pedir que los usuarios ingresen un código de confirmación y al declarar que tienen acreditación mientras muestran un certificado de acciones de Facebook. Aun así, es difícil comprender cómo una muestra de un certificado de acciones tiene algún tipo de relevancia en Facebook.
Aunque estos trucos pueden agregar un aire de autenticidad a esta página de suplantación de identidad, los phishers hacen un mal trabajo de diseño: por ejemplo, el código de confirmación generado aquí es siempre “7710” sin importar la cantidad de intentos realizados.
Después de que el usuario ingresa el código, el sitio confirma la solicitud de acceso a la aplicación con el mensaje “Gracias por usar este servicio”, y además afirma que “Su cuenta estará asegurada en 24 horas”.
Por supuesto, la espera de 24 horas mencionada es apenas una estrategia con la que ganan el tiempo necesario para evitar cualquier sospecha temprana del usuario. Si los usuarios llegan tan lejos y se convierten en víctimas del sitio, los phishers habrán tenido éxito al obtener la información necesaria para robar su identidad.
En este sentido, Norton recomienda a los usuarios de Internet las siguientes prácticas para evitar ataques de suplantación de identidad:
- No haga clic en enlaces sospechosos que provengan de mensajes de correo electrónico.
- No comparta información personal cuando contesta un correo electrónico.
- No ingrese información personal en una página o ventana emergente.
- Compruebe que el sitio está encriptado con un certificado SSL. Para esto, busque el candado, “https” o la barra de direcciones en verde cuando ingresa información personal o financiera.
- Actualice su software de seguridad (como Norton Internet Security 2012) con frecuencia.
- Denuncie sitios web y direcciones de correo electrónico falsos (para Facebook, envíe quejas de suplantación de identidad phish@fb.com).