Tecnología |
4'
Ciberdelincuentes utilizan la plataforma WhatsApp para desplegar una campaña de ingeniería social. A continuación, los detalles del timo.
WhatsApp es una de las aplicaciones que más usuarios tiene en la Argentina y por tal motivo está en la mira de los ciberdelincuentes, quienes la utilizan como medio de circulación de sus estafas.
En las últimas horas se transformó en viral un supuesto sorteo de YPF, donde decenas de usuarios accedieron a participar sin darse cuenta que en realidad se trataba de una campaña de ingeniería social desplegada por hackers.
Según explican expertos, en el primer contacto con el engaño, se recibe un mensaje anunciando el supuesto aniversario número 100 de la compañía. Si bien el idioma del mensaje no se corresponde con el del usuario, es probable que este mensaje provenga de algún contacto de la víctima, lo cual hace que en muchas ocasiones puede generar una falsa sensación de confianza.
Además del texto en inglés, se observan otros indicadores de un típico engaño de ingeniería social, como la promesa de regalos y un sitio web que no está relacionado con el sitio oficial de la compañía mencionada.
En el sitio fraudulento se hace referencia tanto referencias a la compañía con imágenes, logos y colores, así como comentarios de falsos ganadores, para hacerlo más creíble a ojos de las víctimas.
Para participar por el supuesto premio, la víctima debe responder un cuestionario con preguntas de poca relevancia, como su opinión sobre la compañía suplantada o su edad.
Luego de finalizar el cuestionario, el sitio nuevamente redirige al usuario para descubrir su premio con un falso juego de azar que, sin importar qué seleccione, hará que la víctima siempre gane el premio final de 30.000 pesos argentinos.
Para recibir el premio seleccionado, el usuario debe compartir un mensaje por WhatsApp a contactos o grupos, el cual no es más que la propagación del engaño.
Finalmente, y una vez propagada la campaña maliciosa, el sitio redirige a la víctima a sitios de publicidad. Estos no solo no tienen referencia alguna al falso premio supuestamente ganado, sino que publicitan aplicaciones o sitios de dudosa procedencia, lo cual puede desencadenar otro ataque de aún mayor calibre, como una infección por software malicioso.
Desde YPF advirtieron a través de sus redes sociales que estaba circulando este engaño y recuerdan que los concursos que realizan los anuncian siempre por sus canales oficiales.
“No es la primera vez que este tipo de engaños circula, y menos de forma masiva. Suplantando a compañías reconocidas como Amazon, campañas similares recorren el mundo, utilizando todo tipo de excusas y aprovechando situaciones como la crisis económica provocada por la pandemia”, menciona Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Recomendaciones para evitar caer en estos engaños:
-Ante la recepción de este tipo de mensajes, es importante estar alerta ante la posibilidad de que se trate de un engaño, incluso si proviene de un contacto o conocido, ya que puede haber sido engañado también.
-Siempre sospechar de una oferta o un regalo demasiado buena para ser verdad: Ganancias en dinero, viajes, descuentos increíbles, electrónicos, y más. Esta es una estrategia que utilizan los cibercriminales para captar más aún la atención de futuras víctimas.
-Se debe considerar el medio de recepción del mensaje y su masividad, y cuestionarnos, como usuarios: ¿Esta compañía tiene registro de mi número de celular (o usuario) como cliente, para ofrecerme un regalo? ¿El medio por el cual recibí el mensaje, es una vía por la cual la compañía se suele comunicar? ¿Es redituable para la compañía hacer este tipo de regalos masivos? Si alguna de estas respuestas nos genera dudas sobre la veracidad de la campaña, es mejor no acceder a la misma.
-Tener una solución de seguridad instalada en nuestros dispositivos móviles nos advertirá de sitios maliciosos y descargas fraudulentas, así como protegernos ante piezas de software malicioso, en el caso de haber caído en el engaño.