Buenos Aires, Argentina – ESET, compañía líder en detección proactiva de amenazas, advierte sobre una campaña de ingeniería social que está circulando mediante WhatsApp suplantando la identidad de una conocida compañía Argentina. En esta ocasión, se utiliza la imagen de la empresa de combustibles YPF.
En el primer contacto con el engaño, el usuario recibe un mensaje anunciando el supuesto aniversario número 100 de la compañía. Si bien el idioma del mensaje no se corresponde con el del usuario, es probable que este mensaje provenga de algún contacto de la víctima, lo cual hace que en muchas ocasiones puede generar una falsa sensación de confianza.
Además del mensaje en inglés, se observan otros indicadores de un típico engaño de ingeniería social, como la promesa de regalos y un sitio web que no está relacionado con el sitio oficial de la compañía mencionada.
Pie de Imagen 1: Mensaje recibido por la víctima para distribuir el engaño.
En el sitio fraudulento se hace referencia tanto referencias a la compañía con imágenes, logos y colores, así como comentarios de falsos ganadores, para hacerlo más creíble a ojos de las víctimas.
Pie de imagen 2: Elementos de la página principal del sitio engañoso que buscan darle credibilidad.
Para participar por el supuesto premio, la víctima debe responder un cuestionario con preguntas de poca relevancia, como su opinión sobre la compañía suplantada o su edad. Luego de finalizar el cuestionario, el sitio nuevamente redirige al usuario para descubrir su premio con un falso juego de azar que, sin importar qué seleccione, hará que la víctima siempre gane el premio final de 30.000 pesos argentinos.
Para recibir el premio seleccionado, el usuario debe compartir un mensaje por WhatsApp a contactos o grupos, el cual no es más que la propagación del engaño.
Pie de imagen 3: Sitio donde se anuncia el falso premio, obligando a la víctima a propagar el engaño para conseguirlo.
Finalmente, y una vez propagada la campaña maliciosa, el sitio redirige a la víctima a sitios de publicidad. Estos no solo no tienen referencia alguna al falso premio supuestamente ganado, sino que publicitan aplicaciones o sitios de dudosa procedencia, lo cual puede desencadenar otro ataque de aún mayor calibre, como una infección por software malicioso.
Desde YPF advirtieron a través de sus redes sociales que estaba circulando este engaño y recuerdan que los concursos que realizan los anuncian siempre por sus canales oficiales.
“No es la primera vez que este tipo de engaños circula, y menos de forma masiva. Suplantando a compañías reconocidas como Amazon, campañas similares recorren el mundo, utilizando todo tipo de excusas y aprovechando situaciones como la crisis económica provocada por la pandemia.”, menciona Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Desde ESET comparten alguna recomendaciones para evitar caer en estos engaños:
· Ante la recepción de este tipo de mensajes, es importante estar alerta ante la posibilidad de que se trate de un engaño, incluso si proviene de un contacto o conocido, ya que puede haber sido engañado también.
· Siempre sospechar de una oferta o un regalo demasiado buena para ser verdad: Ganancias en dinero, viajes, descuentos increíbles, electrónicos, y más. Esta es una estrategia que utilizan los cibercriminales para captar más aún la atención de futuras víctimas.
· Se debe considerar el medio de recepción del mensaje y su masividad, y cuestionarnos, como usuarios: ¿Esta compañía tiene registro de mi número de celular (o usuario) como cliente, para ofrecerme un regalo? ¿El medio por el cual recibí el mensaje, es una vía por la cual la compañía se suele comunicar? ¿Es redituable para la compañía hacer este tipo de regalos masivos? Si alguna de estas respuestas nos genera dudas sobre la veracidad de la campaña, es mejor no acceder a la misma.
· Tener una solución de seguridad instalada en nuestros dispositivos móviles nos advertirá de sitios maliciosos y descargas fraudulentas, así como protegernos ante piezas de software malicioso, en el caso de haber caído en el engaño.
ESET invita a reportar los engaños que se reciban a través de WhatsApp haciendo clic aquí.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/02/07/engano-whatsapp-falso-aniversario-ypf/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw