En los últimos días comenzó a circular vía WhatsApp una encuesta falsa que simula ser del supermercado Jumbo. Eset, compañía especializada en detección proactiva de amenazas, analizó los pasos y las formas en que se lleva a cabo esta difusión, que resulta convincente por su presentación. Jumbo, perteneciente al grupo chileno Cencosud, no tiene relación con estos mensajes y es también víctima de estas difusiones falsas.
«En gran cantidad estafas, el denominador común es llamar la atención mediante un cierto sentido de urgencia que busca que el usuario sienta la presión de actuar rápido para no perderse una oportunidad. Se anuncian premios, oportunidades de trabajo que parecen un regalo, pero también infunden inquietudes de deudas, causas judiciales que hay que atender de inmediato, etc.», explicó Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de Eset Latinoamérica, citado en un comunicado que esta empresa envió a iProfesional.
«Las excusas son variadas y van mutando hacia mensajes cada vez más convincentes gracias a la inteligencia artificial que los hacen mejor estructurados», agregó Gutiérrez Amaya.
En este caso, se advierte que todas las etapas finalizan en el pedido de compartir a todos los contactos la supuesta encuesta. Este tipo de difusiones, según Eset, dejan en evidencia la importancia de chequear la procedencia de los mensajes recibidos «sin solicitar», y de no hacer clic en enlaces que se reciban de forma sospechosa.
En casos anteriores en el que se suplantó a la misma entidad, desde esta compañía se observó que los enlaces llevaban a la descarga de una aplicación maliciosa que robaba datos personales del usuario, o en otros casos, instalaban extensiones maliciosas.
Paso a paso de la estafa vía WhatsApp
El engaño comienza con lo que parece ser el anuncio de un premio, pasa a ser una breve encuesta, luego un sorteo de un iPhone 15 y finalmente, para hacerse acreedor de ese premio, invita a la víctima a compartir la encuesta con todos sus contactos.
El primer contacto con la víctima es a través de un mensaje no solicitado en WhatsApp que anuncia un sorteo de premios especiales por Halloween, o algo similar: «Regalos de carnaval de Halloween«, en este caso.
Mensaje inicial del engaño, con un enlace malicioso.
Una vez que se le da clic a la URL que anuncia el premio falso, el botón para «reclamar regalo» abrirá una breve encuesta, convincente en su diseño gráfico y bien estructurada, como paso previo para obtener el supuesto regalo: un iPhone15.
Web móvil a la que lleva el enlace malicioso, donde comienza la encuesta.
Una vez que el usuario termina la encuesta de cuatro preguntas, llega el momento de participar de un sorteo por el regalo que supuestamente ya se había ganado. Para darle mayor sensación de veracidad al sorteo, simulan el comentario de una persona que asegura haber participado y dice haber recibido su iPhone15 en tiempo récord: «recibí el regalo en el mismo día», indica una falsa usuaria.
Acceso a un supuesto sorteo, para llevar al usuario a seguir instrucciones para reclamar el premio.
En la última etapa, cuando la web simula que finalmente el usuario salió beneficiado en el sorteo, como paso final el engaño pide compartir la encuesta a la mayor cantidad de contactos. Si bien el mensaje indica que hay que ingresar la dirección, al dar ok a la pantalla, lleva a la opción de compartir con los contactos, sin más.
Pantallas finales donde se invita a compartir vía WhatsApp a la mayor cantidad de personas.
Una vez que se compartió con el número suficiente de contactos, el proceso falso para reclamar el premio pide compartir con una mayor cantidad de personas a través de WhatsApp, con la excusa de que así se aceleraría un supuesto proceso de revisión.
Paso final del engaño que índice a seguir compartiendo la encuesta falsa.
Consejos para prevenir estafas en WhatsApp
Si se recibe un mensaje, sea por aplicaciones de mensajería instantánea, como WhatsApp o Telegram, o vía correo electrónico u otros, dese Eset compartieron los siguientes consejos de seguridad para evitar ser víctima:
- Verificar la fuente del mensaje, y prestar especial atención si te invita a hacer clic en un enlace.
- Desconfiar de mensajes que transmitan un sentido de urgencia, u ofrecen oportunidades fuera de lo común -demasiado buenas para ser verdad-.
- Ponerse en contacto con la entidad por sus canales oficiales, para corroborar la veracidad del mensaje, y reportar intentos de phishing.
- Nunca brindar datos personales o financieros, en comunicaciones que no se hayan iniciado, por más que parezcan ser de una fuente confiable.
«Recibimos el aviso de este tipo de mensajes mediante nuestro WhatsApp de denuncias de estafas y engaños. Al analizarlo detectamos que el engaño no tiene entre sus etapas ninguna en la que pida datos personales, por lo que no se configura un intento de phishing. De todas formas, es un buen ejemplo de cómo una pieza gráfica puede distribuirse para engañar a usuarios e inducirlos a entregar la información personal o a realizar otras acciones deliberadas y perjudiciales.», concluyó Gutierrez Amaya.