Circula una estafa por WhatsApp con falsos sorteos de supermercados
La multinacional “Carrefour” informó que viene circulando una estafa por WhatsApp con falsos sorteos de sus locales, lo cual es totalmente falso.
La empresa dio aviso que sus sorteos se realizan en sus canales de comunicación oficiales.
La campaña ya no solo busca distribuirse, sino que busca obtener datos financieros de las potenciales víctimas, información que solicitará en la página a la cual será redireccionada la víctima al hacer clic en el botón OK, la cual en este caso se trata de un sitio de un servicio de streaming.
Otra estafa con serios riesgos de que los hackers accedan a toda la información personal y financiera del usuario, los ciberdelincuentes llaman la atención esta vez, a través de un falso cupón de regalo, que ofrece desde $5.000 hasta $8000 como parte de la celebración del aniversario de conocidos hipermercados argentinos.
Lo primero que se aprecia es el uso del nombre de la empresa cuya identidad es suplantada como parte del nombre del dominio en la URL a la que se invita a ingresar. En este caso, los responsables detrás de este engaño utilizan el dominio completo como parte de la composición de la URL registrada y de esta manera buscan engañar a usuarios desprevenidos que no presten atención a la URL completa. ESET confirmó la existencia de la misma campaña ofreciendo cupones gratuitos, pero suplantando la identidad de dos conocidas marcas de supermercados en Argentina.
El dominio real de un sitio se encuentra a la izquierda del identificador final, esto no es más que lo último que aparece antes de los posibles .com, .com.ar, .br, .club (como es este caso), etc. En este caso, el dominio es www.xxxxxxxxxxre.com-aniversario.club, por ende, el dominio real registrado es com-aniversario.club.
Tras responder las preguntas del cuestionario el usuario llegará a la instancia de una supuesta verificación de las respuestas. Una vez calificado, queda en evidencia el método de distribución del engaño, ya que para continuar y obtener el supuesto beneficio se solicita a la víctima enviar el mensaje a 20 contactos o grupos de WhatsApp.
Una vez que verifican que la víctima cumplió con el requisito de compartir con sus contactos el mensaje, continúa el engaño. A partir de este paso, la obtención del cupón se reduce al “azar” y elegir la supuesta caja que contiene el prometido premio. “Habiendo analizado el engaño desde diferentes dispositivos y a lo largo de distintas horas, ESET identificó que la cantidad de cupones disponibles no se modificó y que en las pruebas realizadas siempre se ganó, sin importar la caja seleccionada.”, asegura Lubeck.
En este punto, la campaña ya no solo busca distribuirse, sino que busca obtener datos financieros de las potenciales víctimas, información que solicitará en la página a la cual será redireccionada la víctima al hacer clic en el botón OK, la cual en este caso se trata de un sitio de un servicio de streaming.
Al igual que con cualquier campaña de phishing o ingeniería social, para no ser víctimas de este tipo de engaño o similar, es importante estar atentos a este tipo de mensajes y revisar la URL antes de hacer click. Otra recomendación de ESET es hacer una búsqueda en la web para ver si se encuentra información sobre esta promoción, ya sea en la página oficial o si alguien más reportó el engaño (en este caso particular se hubieran encontrado muchas alertas sobre la campaña).
LEER: Allanamiento en San Nicolás por intento de robo en Arrecifes