Tras una reciente campaña de phishing dirigida a usuarios de Instagram, los ciberdelincuentes ahora han puesto su atención en quienes usan Facebook, utilizando una técnica inusual: enlaces mailto: en lugar de los típicos enlaces a sitios falsos.

Las víctimas reciben un correo electrónico que afirma falsamente que su cuenta de Facebook fue accedida desde un nuevo dispositivo. El asunto suele decir:
“Hemos recibido una solicitud para restablecer la contraseña de tu cuenta de Facebook.”

El cuerpo del mensaje advierte:

“Alguien acaba de iniciar sesión en tu cuenta de Facebook desde un nuevo dispositivo iPhone 14 PRO Max. Te enviamos este correo para verificar que realmente eres tú.”

Cómo funciona esta estafa

Cada botón o enlace dentro del correo —ya sea “Reportar al usuario”, “Sí, soy yo”, “Cancelar suscripción”, o incluso las direcciones de correo listadas al final— abre tu aplicación de correo predeterminada con un mensaje ya preparado y una línea de asunto relacionada con lo que seleccionaste. Así, los atacantes intentan que las víctimas respondan directamente.

Las respuestas se envían a correos sospechosos, muchos de los cuales ya habían sido usados en campañas anteriores contra usuarios de Instagram. Algunos ejemplos son:

• prestige@vacasa[.]uk.com
• ministry@syntec[.]uk.com
• technique@pdftools[.]com.de
• service@boss[.]eu.com
• threaten@famy[.]in.net
• difficulty@blackdiamond[.]com.se
• anticipation@salomonshoes[.]us.com

Algunos de estos correos imitan (typosquatting) a empresas legítimas con pequeñas variaciones en los dominios; otros pueden ser dominios comprometidos.

¿Qué tienen de sospechoso estos dominios?

Los atacantes usan dominios de segundo nivel como .uk.com, .com.de, .eu.com, .com.se y .us.com. Aunque son legítimos, no son dominios oficiales de países y suelen ser aprovechados por los delincuentes para parecer más confiables o dar una falsa sensación de cercanía geográfica.

Su disponibilidad global y flexibilidad los hace útiles para suplantar a empresas reales con dominios muy similares.

Cómo protegerte del phishing con enlaces mailto

Dado que esta técnica puede volverse más común, aquí algunos consejos para evitar caer en este tipo de engaños:

• Verifica siempre la dirección del remitente: Facebook o Meta usan dominios propios. Si el correo proviene de una marca de zapatos, una agencia de viajes o una cuenta genérica como Gmail, es una señal de alerta.
• No envíes información sensible por correo: Las empresas legítimas nunca te pedirán que respondas con tu contraseña o datos de acceso.
• Desconfía de la urgencia: Si el mensaje te presiona para actuar rápidamente, detente y analiza con calma.
• No respondas directamente: Al hacerlo, estás confirmando que tu dirección está activa y podrías recibir más intentos de estafa.
• Investiga el correo: Busca en línea si otras personas han reportado correos similares.
• Usa herramientas como Malwarebytes Scam Guard: Te ayudará a evaluar si se trata de una estafa y te dará recomendaciones para actuar con seguridad.

Fuente: https://www.malwarebytes.com/blog/news/2025/08/facebook-users-targeted-in-login-phish