Una campaña de ingeniería social que está circulando por WhatsApp suplantando la identidad de una conocida cadena de supermercados. En esta ocasión, se utiliza la imagen de SUPERMAXI.
El contacto inicial con la víctima se realiza a través de WhatsApp. No se han detectado hasta el momento otras vías de propagación como podrían ser otras redes sociales, correos electrónicos, o bien indexaciones en búsquedas en motores como Google. La víctima recibe una comunicación de alguno de sus contactos que ya ha caído en el engaño, este mensaje incluye un link malicioso junto con un texto motivador haciendo referencia a supuestos regalos por el aniversario de la compañía.
Una vez que la víctima interactúa con el enlace, es dirigida por varios sitios hasta llegar al principal sitio del engaño, este contiene imágenes alusivas a la marca, con colores y logos idénticos a los originales, menciones a los regalos prometidos e incluso falsos comentarios de supuestos ganadores.
Cuando la víctima llega al sitio principal, debe contestar unas preguntas simples de respuesta múltiple; estas son utilizadas por los estafadores como método de distracción, para reclamar el supuesto premio. Luego de responderlas, y sin importar las opciones que se hayan elegido, debe seleccionar en tres intentos el ícono que contenga el regalo. Nuevamente, no importa la opción qué seleccione el usuario, la última siempre es la ganadora.
Si bien en la imagen aparecen fotografías de billetes argentinos, esto puede deberse a una vaga reproducción de otros engaños.
Una parte vital de este tipo de engaños para su propagación es el primer paso que la víctima debe seguir para reclamar la supuesta ganancia. Esta debe compartir el engaño con 5 grupos o 20 contactos de WhatsApp. De esta forma, quienes están detrás se aseguran la redistribución del mensaje por medio de contactos conocidos por el usuario que los recibe.
Finalmente, y para concretar la monetización de este engaño, los cibercriminales le solicitan a la víctima que ingrese en un sitio para registrarse y recibir su premio. Sin embargo, el enlace mencionado no hace más que redirigir la varios sitios de publicidad de servicios o productos que nada tienen que ver con la marca o el premio mencionado anteriormente. Uno de ellos, por ejemplo, promociona un servicio de inversiones en línea de poca reputación.
No es la primera vez que este tipo de engaños circula, y menos de forma masiva. Suplantando a compañías reconocidas como Campañas similares recorren el mundo utilizando todo tipo de excusas y aprovechando situaciones como la crisis económica provocada por la pandemia.”, menciona Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Desde ESET comparten algunas recomendaciones para evitar caer en estos engaños:
• Ante la recepción de este tipo de mensajes, es importante estar alerta ante la posibilidad de que se trate de un engaño, incluso si proviene de un contacto o conocido, ya que puede haber sido engañado también.
• Siempre sospechar de una oferta o un regalo demasiado buena para ser verdad: Ganancias en dinero, viajes, descuentos increíbles, electrónicos, y más. Esta es una estrategia que utilizan los cibercriminales para captar más aún la atención de futuras víctimas.
• Se debe considerar el medio de recepción del mensaje y su masividad, y cuestionarnos, como usuarios: ¿Esta compañía tiene registro de mi número de celular (o usuario) como cliente, para ofrecerme un regalo? ¿El medio por el cual recibí el mensaje, es una vía por la cual la compañía se suele comunicar? ¿Es provechoso para la compañía hacer este tipo de regalos masivos? Si alguna de estas respuestas nos genera dudas sobre la veracidad de la campaña, es mejor no acceder a la misma.
• Tener una solución de seguridad instalada en nuestros dispositivos móviles nos advertirá de sitios maliciosos y descargas fraudulentas, así como protegernos ante piezas de software malicioso, en el caso de haber caído en el engaño.