Una de las nuevas formas de fraude es utilizar las redes de Whatsapp para sembrar señuelos directamente, ya que las posibilidades de engaño crecen exponencialmente. En ese contexto, una campaña maliciosa que involucra a Mercado Libre intenta hacer creer que la empresa está sorteando productos devueltos.
El engaño llega a las víctimas a través de un mensaje que muchas veces es replicado, de forma voluntaria, por un contacto de la libreta de direcciones, algo habitual en los engaños que se distribuyen a través de WhatsApp, según el Laboratorio de Investigación de ESET.
Además del comunicado que informa sobre 10.000 sorteos de artículos devueltosse envía un enlace comprimido que promete dirigir a los usuarios al sitio web oficial de MercadoLibre, que es la empresa en la que se hacen pasar los ciberdelincuentes.
Como si quisieran hacer el truco creíble, usan disuasivos como el logo oficial y los colores para que parezca real. Además, para generar confianza, incluye un cuestionario para que el usuario dé su opinión sobre la empresa, acompañado de comentarios falsos de supuestos ganadores.
La primera etapa del engaño. foto ESET.
Una vez respondido el cuestionario, el sitio presenta a la víctima otro sorteo, muy alejado de los supuestos productos devueltos. En este, el usuario tiene tres posibilidades para encontrar el premio falso que, independientemente de lo que seleccione, siempre recibe. Por lo general, se trata de artículos de alto valor, como un teléfono inteligente de último modelo o dinero en efectivo.
Para reclamar el premio, la víctima debe realizar una acción crucial para este engaño: difunde entre tus contactos de WhatsApp esta supuesta oportunidad.
Esto permite que la campaña tenga un alto alcance en poco tiempo y sin necesidad de que el ciberdelincuente intervenga en la distribución. También es la razón por la que el mensaje inicial llega a la víctima desde un contacto que tiene registrado.
Luego de anunciar el supuesto premio, la víctima es redirigida a otro sitio que utiliza técnicas de ataque conocidas como espantapájarossegún detalló ESET, con el objetivo de hacerte creer que su dispositivo está desactualizado y en peligro.
Además, el engaño recomienda descargar una aplicación en los próximos minutos para intentar crear una sensación de urgencia para que el usuario no dude en instalar la aplicación desconocida.
Cómo es la nueva estafa de WhatsApp
El participante siempre obtiene un gran premio. FotoESET
En este punto, no se hace mención al sorteo o sorteo. Esto debería ser suficiente para que la víctima note algo sospechoso y decida no seguir interactuando con el sitio.
Sin embargo, parte de la estrategia en este tipo de fraudes es intentar que la víctima se “olvide” por un momento del supuesto premio y para ello utilizan cuestionarios, botones o comentarios que no sirven para nada.
Aunque se ha eliminado el enlace para descargar la actualización falsa, podemos confirmar que el dominio utilizado alberga otros sitios maliciosos que se hacen pasar por otras empresas, todos con un objetivo similar: mostrar publicidad fraudulenta, recopilar información personal o incluso descargar malware.
Las campañas maliciosas que buscan hacerse pasar por plataformas de comercio electrónico utilizando sitios falsos son comunes. Según datos de los sistemas de telemetría de ESET, el tema de comercio electrónico fue el tercero más utilizado para los sitios de phishing durante el último trimestre de 2021 con un 9,8% de ellos, tendencia que continúa creciendo también durante este año.
SL
