ESET analizó una campaña fraudulenta que en los últimos días ha estado circulando en varios países de la región a través de mensajes de WhatsApp. En la misma se suplanta la imagen de reconocidas compañías automotrices, como Toyota o Volkswagen, para hacerle creer a los usuarios que como parte de la celebración del 80 aniversario de las compañías se están entregando regalos.

“Este tipo de engaños a través de WhatsApp son muy recurrentes. Los estafadores no solo utilizan la imagen de reconocidas marcas u organizaciones, sino que suelen utilizar diferentes temáticas para intentar engañar a los usuarios con un modus operandi muy similar”, comentó Miguel Ángel Mendoza, Investigador del Laboratorio de ESET Latinoamérica.

En este caso, el mensaje vía WhatsApp suele llegar al usuario desde un contacto de confianza, probablemente porque el remitente también ha caído en la trampa. Esto se debe a que en un momento determinado este tipo de engaños suelen solicitar a la víctima reenviar el mensaje entre los grupos o contactos para supuestamente poder recibir el regalo.

Si el usuario hace clic en el enlace abrirá una página que lo invitará a participar en una encuesta en la cual se solicita a la potencial víctima responder algunas preguntas relacionadas con la persona misma y con la marca de autos en cuestión. Para hacer verosímil el engaño, una vez que el usuario contesta se muestra una instancia aparenta realizar una fase de recopilación de la información. Luego de esto, el usuario podrá participar del supuesto sorteo.

En la siguiente fase, una dinámica solicita al usuario elegir entre varias opciones, y en caso de acertar, obtendrá un regalo que ofrece la marca automotriz. Después de un par de intentos, finalmente el usuario “logra elegir una opción ganadora” y el regalo es nada más ni nada menos que un automóvil; un premio extremadamente bueno para lo sencillo del desafío.

Es probable que lo atractivo del premio sea la razón por la cual los usuarios no dudan en propagar el mensaje, ya que como parte de la dinámica se requiere “informar sobre las promociones a cinco grupos ó 20 amigos”. Además, se solicita al usuario ingresar una dirección de correo y completar un registro, donde continúa la recopilación de información de la víctima, especialmente el número de teléfono.

Si el usuario comparte el mensaje con sus contactos los operadores detrás de esta campaña conseguirán que el mensaje siga circulando, haciendo a su vez que aumenten las posibilidades de que otros usuarios caigan en la trampa debido a que el mensaje lo reciben de un contacto conocido.

“Para agregar elementos que convenzan al usuario de ser una promoción legitima, la campaña hace uso de elementos apócrifos, como algunos comentarios de supuestos participantes que han obtenido premios similares a los ofertados o que han participado, así como un número elevado de “Me gusta” en la publicación del concurso, que podrían agregar credibilidad al engaño“, destacó Miguel Ángel Mendoza.

Si el usuario continúa la interacción con esta campaña, es dirigido a otros sitios que incluyen más concursos. Sin embargo, en estos casos se solicita validar que se trata de una persona real mediante el envío de un mensaje SMS. Este tipo de acciones generalmente buscan que el usuario se suscriba con su número de teléfono a servicios de mensajería SMS Premium, de forma que la campaña logra ser monetizada.

Incluso en la pantalla de la aparente verificación del usuario se indica que múltiples mensajes SMS serán enviados en esta fase y que los mismos que serán cobrados a la víctima. Por último, en cada interacción con el sitio se intenta abrir y descargar diversos archivos en el dispositivo, lo que también podría implicar más riesgos para el usuario.

A fin de evitar ser víctimas de estos engaños, ESET recomendó:

• La primera de todas las recomendaciones es hacer caso omiso a este tipo de mensajes, incluso si provienen de contactos de confianza, ya que como se menciona en el análisis de la campaña, es muy probable que el remitente haya sido víctima del engaño.

• La mejor opción es eliminar este tipo de mensajes sin interactuar con ellos, ya que por un lado el usuario evitar convertirse en víctima y al mismo tiempo rompe con la cadena de distribución de la amenaza.

• Por último y no menos importante, es recomendable contar con una solución de seguridad instalada, configurada y actualizada en el dispositivo, que permita identificar y bloquear los sitios ofensivos o maliciosos utilizados por estas campañas fraudulentas.