Robo de sesión? "session hijacking"

[Bernardo de Cea]

Hola, soy nuevo en la comunidad aunque llevo muchos años como cliente de Kaspersky Internet Security lo tengo instalado en tres PC. Desde mediados de Noviembre de este año me empezaron a llegar avisos de Facebook al correo electrónico de inicios de sesión desde diferentes lugares y dispositivos teniendo que modificar la contraseña continuamente. ayer me aviso movistar que estaba mandando correos y que se habían categorizado como spam preguntando si había sido yo o estaban suplantando mi identidad y bloqueaban mi cuenta. Días atrás había procedido a realizar un análisis completo del PC sin obtener resultado de infección. Mi pregunta es que Malware puedo instalar que sea compatible con Kaspersky para detectar y solucionar el problema? Muchas gracias por vuestra ayuda y perdón si no tenia que haber puesto este tema en este foro. Un saludo Bernardo.

 

//Mod Edit: eliminado archivo por contener información personal del usuario

[harlan4096]

Bienvenid@ a la Comunidad de Kaspersky.

 

Por lo que veo tiene toda la pinta de que has usado las credenciales de tu cuenta FaceBook en algún servicio de bastante mala reputación, y las están usando para enviar mensajes en tu nombre a todos tus contactos.

 

Es una camapaña de ataques phishing que están teniendo lugar últimamente en FaceBook, lo primero que yo haría sería cambiar la contraseña de tu cuenta de acceso a FaceBook.

 

En análisis completo de tu sistema dio negativo porque no está contaminado físicamente, te han hecho un “hijack” de la cuenta de FaceBook.

 

Encontré esta información (Inglés) hace poco, ya que tengo un amigo al que le ha pasado algo similar, y estuve recibiendo mensajes con enlaces maliciosos en el interior vía el Messender de FaceBook:

 

Facebook Phishing Campaign

 

Saludos.

[Bernardo de Cea]

Gracias por tu contestación harlan4096 (moderador). Cuando cambiaba la contraseña en Facebook no eliminaba el problema, porque me habían capturado el usuario y contraseña del correo electrónico de esta forma volvían a pedir nuevas contraseñas e inicio de sesión en Facebook. Movistar bloqueo la salida de correo al indicarles otros usuarios que estaban recibiendo correos con mi dominio y se catalogaban como spam. Al mismo tiempo me suplantaron en la plataforma Wish a la que yo no había entrado nunca pidiendo cambios de contraseña y confirmación de la misma. Es evidente que la suplantación de identidad persigue realizar una actividad maliciosa realizando clic en alguna plataforma y obtener un beneficio fraudulento. Por seguridad las acciones recomendadas por movistar y la policía nacional ha sido la de cambiar todas las contraseñas de correo y plataformas en las que estuviese dado de alta. Veremos si tengo suerte y confianza en estas acciones y no tengo que formatear el PC portátil. Visite la página del enlace Facebook Phishing Campaign

Gracias y un saludo Bernardo.

[harlan4096]

Sí, se me ha olvidado antes comentar, que cambiaras también las contraseñas de email etc.

 

Lee la sección de recomendaciones del enlace:

Recommendations

As much as Facebook is considered a safe platform, with automated security tools such as link scanning, the ability to share links and content is both the platform's strong point and weakness. This is especially true when nefarious parties can craft appealing lures by abusing the Open Graph protocol to manipulate URL previews with their own metadata and effectively hide malicious links from users by masquerading as legitimate content.

As such, we would recommend that users of Facebook, and other social media platforms, consider the following:

• Employ multi-factor authentication wherever available, such as on Facebook and other social media platforms, to thwart account takeover attempts.
• Exercise caution whenever visiting content that takes you outside of Facebook and, even if a nefarious link is clicked, remember that it is still possible to close the browser before submitting your credentials.
• Look for visual clues in any random, unusual or unsolicited links received from known contacts or other entities. If you are unsure, ask your contact for confirmation before opening.
• In the event of any unusual behavior, such as messages being sent from your account without your permission, contact Facebook's Safety and Security teams via the links within the platform and make use of the 'Sign Out' feature to disconnect any rogue access.

 

Suerte ¡ya nos contaras!

 

Saludos.

[Bernardo de Cea]

Hola buenos días a la comunidad y al moderador de ella harlan 4096. Sobre el tema que os consulte sobre la suplantación de identidad, comentaros que el día 23 de diciembre fue el último día que intentaron iniciar sesión en mi cuenta de facebook pero aparentemente a pesar de enviar el código de recuperación de cuenta ya no accedían. Digo esto porque cuando yo entraba en Facebook me respondían diciéndome que ya sabían que no había sido yo el que había pedido el cambio de contraseña. Movistar me comunico ayer que cerraba el ticket sobren el problema de spam. Las acciones realizadas como ya comente, fueron las de cambiar todas las contraseñas tanto de correo como las de las aplicaciones en las que entraba. Físicamente sigo realizando análisis completo con Kaspersky Internet Security y anti-malware de Malwarebytes sin encontrar ninguna amenaza. Un saludo. Bernardo

[harlan4096]

FaceBook, por su parte, en el enlace que ya puse anteriormente, también hablaba de que estaban aplicando medidas para parar este tipo de ataques.

 

Me alegro :)

 

Saludos.