La campaña está alojada en un dominio que contiene otras campañas de phishing que suplantan la identidad de otras reconocidas marcas, con el objetivo de mostrar publicidad sin autorización de los usuarios.
El Laboratorio de Investigación de ESET Latinoamérica, compañía de detección proactiva de amenazas, identificó un engaño que se distribuye por mensaje vía WhatsApp, en el que se afirma que debido a su nuevo aniversario WhatsApp estaría regalando 1.000 GB de tráfico de Internet vía Wi-Fi.
Al hacer clic en el enlace, se llega a una página que invita a contestar una serie de preguntas a modo de encuesta. La misma va desde cómo llegó a la oferta, hasta cuál es la opinión del usuario acerca de la aplicación.
Luego de contestar el cuestionario, el sitio invita al usuario a compartir la oferta con al menos 30 personas más para poder hacerse acreedor del premio. Inclusive se detectó un script que contabiliza cuantas veces se comparte el mensaje con la oferta, con el objetivo de maximizar la viralización del mensaje y, por ende, el intento de estafa a los usuarios.
Este tipo de ataques que hacen uso de técnicas de ingeniería social se mantienen vigentes, sobre todo porque continúan siendo muy efectivos para los cibercriminales al entender que a todos los usuarios les gusta ganar algo o ayudar a otro, por lo que sigue siendo muy importante que las personas investiguen más el dominio y la oferta en sí antes de acceder a cualquier enlace que les llega. En este caso puntual se nota claramente que no es un dominio oficial de la compañía. Si bien las empresas pueden lanzar promociones a través de terceros, se debe verificar en el sitio oficial de la empresa si se trata de una promoción real y vigente.
El objetivo de esta estafa es mostrar publicidad a lo largo de todo el proceso. Es decir, no se encontró evidencia de que se instalaran segundos programas maliciosos o que haya algún intento de robo de información adicional. En este sentido, la monetización de esta campaña está ligada directamente a la entrega de avisos publicitarios de manera masiva y sin autorización de los usuarios.
Durante la investigación ESET también encontró la existencia de un nuevo sitio dedicado a estafar a cientos de usuarios desprevenidos mediante varias campañas de phishing. Luego de analizar la cantidad de páginas indexadas dentro de este dominio se observó que existen al menos 66 “ofertas” distintas, cada una simulando ser una marca o empresa diferente, como Adidas, Nescafé, Sopas Sorrel, Relojes Rolex, por ejemplo. Si bien se trata de un dominio diferente, en el caso de Nescafé, se trata de una campaña de phishing similar a la que se reportó hace un par de semanas atrás simulando ser de Nespresso y busca engañar a los usuarios ofreciendo una cafetera gratis.
Como se puede observar en la imagen, dentro de los resultados hay sitios indexados desde hace varios meses y otros que aparecen como creados en el último tiempo. Si bien es algo que ya se ha visto y reportado con dominios anteriores, desde ESET destacan la cantidad de sitios indexados en este caso en particular, lo cual muestra cómo los delincuentes detrás de estas campañas buscan crecer en la cantidad de amenazas que lanzan al ciberespacio.
“Cuanto más precavido sea el usuario, cuanto mejor informado este y cuanto más se piense antes de hacer clic, más posibilidades hay de dejar al phishing a la deriva”, mencionó Luis Lubeck, Especialista en seguridad informática de ESET Latinoamérica.
El Laboratorio de ESET Latinoamérica compartió 6 claves para reconocer correos de phishing falsos:
1. Prestar atención para detectar si el mensaje realmente demuestra que el remitente sabe algo acerca del usuario y, ante todo, si es un contacto conocido: Revisa si el mail solo te dirige como "Estimado cliente" o te entrega un número de referencia sin significado.
2. Desconfiar de los archivos adjuntos y los enlaces integrados: Difícilmente un proveedor enviará un mensaje pidiendo iniciar sesión desde un vínculo integrado. Tampoco hay que confiar en los archivos no solicitados en los mails, aunque provengan de amigos de confianza.
3. Tomar precauciones elementales: Es elemental chequear si el enlace es real pasando el cursor sobre el vínculo. También es importante buscar y confirmar las promociones ofertadas en las redes oficiales de las marcas.
4. No dejarse atormentar por las amenazas: Hay que evitar entrar en pánico o reaccionar de inmediato ante amenazas de eliminación de cuenta.
5. No entusiasmarse con los clics: No caer en la compulsividad de aceptar todos las condiciones de cualquier software por el solo hecho de contar con un programa de seguridad, existen códigos nuevos que pueden no ser detectados.
6. Prestar atención a los detalles: Los mensajes de phishing han mejorado en su calidad de presentación y en Ingeniería Social. Además, los vectores de ataque se trasladaron hacía otras formas, como los SMS (mensajes de texto), medios sociales como Facebook y Twitter, e incluso el correo de voz.