fbpx
Domingo, 14 Agosto

Alerta por una nueva estafa a través de WhatsApp: ofrecen falsos productos devueltos a MercadoLibre

Los delincuentes les hacen creer a las víctimas que ganaron el sorteo.

Una de las nuevas modalidades de estafa es utilizar las redes de WhatsApp para sembrar los señuelos en forma directa, ya que las posibilidades de engaño crecen exponencialmente. En este contexto, una campaña maliciosa que involucra a Mercado Libre intenta hacer creer que la compañía está sorteando productos devueltos.

El engaño llega a las víctimas a través de un mensaje que muchas veces es replicado, de manera voluntaria, por un contacto de la agenda, algo común en los engaños que se distribuyen a través de WhatsApp, según el Laboratorio de Investigación de ESET.

Además del enunciado que informa sobre rifas de 10.000 elementos devueltos, se envía un link comprimido que promete dirigir a los usuarios al sitio web oficial de MercadoLibre, que es la empresa que los ciberdelincuentes está suplantando.

Como para que el truco resulte creíble, utilizan elementos disuasorios como el logo y los colores oficiales para que parezca verídico. Además, para generar confianza, incluye un cuestionario para que el usuario opine sobre la compañía, acompañado por comentarios falsos de supuestos ganadores.

Una vez contestado el cuestionario, el sitio le presenta a la víctima otro sorteo, muy alejado de los supuestos productos devueltos. En este, el usuario tiene tres posibilidades para encontrar el falso premio que, independientemente de lo que se seleccione, este siempre recibe. Estos suelen ser objetos de alto valor, como un smartphone último modelo o dinero en efectivo.

Para reclamar el premio, la víctima debe realizar una acción crucial para este engaño: difundir entre sus contactos de WhatsApp esta supuesta oportunidad.

Esto permite que la campaña tenga en poco tiempo un alto alcance y sin necesidad de que el cibercriminal intervenga en la distribución. También es la razón por la que el mensaje inicial llega a la víctima de un contacto que tiene registrado.

Tras anunciar el supuesto premio, la víctima es redirigida a otro sitio que utiliza técnicas de ataques conocidos como scareware, según detallan de ESET, con el objetivo de hacerle creer que su dispositivo está desactualizado y en peligro.

Además, el engaño recomienda descargar una aplicación en los próximos minutos para intentar despertar la sensación de urgencia y que el usuario no dude en instalar la app desconocida.

Cómo es la nueva estafa de WhatsApp

En este punto, no se hace mención al sorteo o regalo. Esto debería ser suficiente para que la víctima note que hay algo sospechoso y decida no continuar interactuando con el sitio.

Sin embargo, parte de la estrategia en este tipo de fraudes es tratar de lograr que la víctima se “olvide” por un momento del supuesto premio y para ello utilizan cuestionarios, botones o comentarios que de nada sirven.

Si bien el enlace para descargar la falsa actualización se encuentra dado de baja, podemos afirmar que el dominio utilizado aloja otros sitios maliciosos que suplantan la identidad de otras compañías, todos con un objetivo similar: desplegar publicidad fraudulenta, recolectar información personal, o incluso descargar malware.

Las campañas maliciosas que buscan suplantar la identidad de plataformas de comercio electrónico mediante sitios falsos son frecuentes. Según datos de los sistemas de telemetría de ESET, la temática ecommerce fue la tercera más utilizada para sitios de phishing durante el último trimestre de 2021 con un 9.8% de los mismos, una tendencia que sigue en crecimiento durante este año también.