No se trata de una publicación falsa o de un enlace a un video malicioso, sino de una nueva técnica para engañar a los usuarios de Facebook que los estafadores han utilizado con la finalidad de inyectar o colocar código malicioso de Javascript del lado del usuario, directo en el navegador.

Este código malicioso podría permitir a un atacante tener acceso a las cuentas de las víctimas y poder utilizarlas para hacer fraudes, enviar correo electrónico no deseado y generar nuevos ataques al publicar el engaño en el muro de los amigos de las víctimas. Esta técnica es conocida como Self XSS (auto XSS).

El Self XSS es el resultado de combinar la ingeniería social con una vulnerabilidad del navegador de Internet, diseñada básicamente para engañar a los usuarios de Facebook y que otorguen acceso a su cuenta. Cuando el atacante ya tiene acceso a la cuenta, puede publicar y comentar cosas en nombre del usuario engañado.

Para poder infectar a los demás usuarios de Facebook, el atacante manda un mensaje fraudulento a través de un correo electrónico o de una publicación de Facebook de uno de los amigos de la víctima, el mensaje indica que para poder atacar a otro usuario de Facebook se deben seguir los siguientes pasos:

1. Visitar el perfil de la víctima.
2. Dar clic derecho en la página, elegir la opción "Inspeccionar Elemento" y despues dar clic en la pestaña "Consola".
3. Pegar el código ubicado en la URL: http://textuploader.com/*****/ en la sección inferior para introducir texto.

Buena suerte: *

No lastimes a alguien.

Una vez que este código ha sido inyectado en la cuenta, dará al atacante acceso a toda la cuenta para realizar una gran cantidad de actividades maliciosas. El atacante también podrá infectar la computadora de la víctima con software malicioso para poder recolectar información bancaria y enviarlos a una ubicación remota.

La mejor manera de que los usuarios se protejan es detectando y reportando estos engaños.

En caso de haber sido víctima de un engaño similar, por favor visita el siguiente enlace para poder proteger tu cuenta de Facebook. Nota: el enlace anterior requiere que ingreses tu contraseña de Facebook para reportar el ataque.

Facebook está trabajando con varios desarrolladores de navegadores de Internet para poder agregar protección en el navegador y así poder prevenir que este vector de ataque sea explotado.