Engaño vía SMS dirigido a usuarios de Chile suplanta la identidad de Mercado Libre y Chilexpress para hacer creer a potenciales víctimas que ganaron un IPad Pro en un sorteo.
También puedes abrir el chat de WhatsApp haciedo clic aquí.
Un engaño que se distribuye a través de mensajes SMS está circulando en Chile. Se trata de una campaña de ingeniería social que intenta hacer creer a quienes reciben el mensaje que tiene pendiente coordinar la entrega de un producto que ganó en un sorteo. Usuarios de Chile han reportado a través del canal de WhatsApp que abrimos para reportar engaños que circulan en esta aplicación de mensajería u otras plataformas.
El objetivo de la campaña es robar los datos de la tarjeta de crédito de la víctima, información que solicitan supuestamente para cobrar los gastos del envío del premio. El mensaje SMS, que al menos en el ejemplo que observamos incluye el nombre verdadero de la persona que lo recibe, incluye un enlace que lleva a un sitio que suplanta la identidad de Mercado Libre. Vale la pena mencionar que el número de teléfono utilizado para el envío del SMS ha sido denunciado esta semana por la distribución de esta campaña fraudulenta, pero también de otros engaños en los que se utiliza una estrategia de ingeniería social diferente.
Si observamos el enlace incluido en el mensaje y la URL que aparece en el navegador una vez que hacemos clic, podemos observar a simple vista que ninguno guarda relación con la URL del sitio oficial de esta plataforma o con algún subdominio. Si bien esto ya debería ser suficiente para confirmar que se trata de un engaño, avanzamos un poco más para conocer los detalles de la ingeniería social que están utilizando los estafadores.
El sitio falso invita al usuario a canjear un código para descubrir cuál es el premio que le corresponde entre más de 100 opciones, una más atractiva que la otra, como un televisor, una gift card o una consola de PlayStation 5. En hacer clic en el botón para canjear el código, no importa las veces que hagamos la prueba, el premio que sale es un iPad Pro. Además, para hacer creíble el fraude los delincuentes incluyen falsos comentarios de usuarios y del equipo de Mercado Libre.
Tras elegir las especificaciones de color, se informa al usuario que se cobrará el gasto de envío solamente ($2000) y se solicita que confirme sus datos para coordinar el envío del supuesto premio. Además, la estafa aclara que los envíos se realizarán únicamente dentro de Chile.
Confirmación del envío y pedido de los datos de la tarjeta de crédito
Una vez que se llega a este punto la campaña solicita a la potencial víctima que especifique los detalles del envío. Aquí se utiliza la imagen de Chilexpress, una empresa que ofrece servicio de encomienda a nivel nacional e internacional, y se invita a indicar cuándo quiere recibir el producto, dónde y mediante qué compañía.
Finalmente, completada esta etapa, otra redirección nos lleva a un nuevo sitio cuyo dominio también es sospechoso, ya que nada tiene que ver con las marcas que se mencionaron anteriormente ni con una plataforma de pago conocida. En esta instancia se solicita los datos de la tarjeta de crédito para hacer el pago del envío del supuesto premio.
Es interesante que el formulario acepta solamente datos válidos; es decir que si completamos con números aleatorios dará error y no nos dejará avanzar.
Por último, cuando la víctima confirma el pago, un mensaje indica que hubo un error y que el proceso no se pudo completar. Si bien los datos a esta altura ya fueron capturados por los delincuentes detrás de esta campaña, se invita a intentarlo nuevamente o ingresar los datos de otra tarjeta de crédito.
Recomendaciones
Los engaños a través de SMS, conocidos como smishing, son utilizados desde hace bastante tiempo por cibercriminales que buscan cometer fraude. Al igual que mencionamos en el caso de los engaños que circulan a través de WhatsApp, es importante conocer cómo funcionan y los mecanismos que utilizan para aprender a reconocerlos y evitar caer en la trampa.
El primer consejo es ser desconfiado y no hacer clic en enlaces que llegan de forma inesperada o que prometen regalos o beneficios demasiado buenos. Menos aún compartir información personal.
En segundo lugar, verificar la URL para corroborar que se trata de un sitio oficial y no una réplica. También se recomienda hacer búsquedas en Google, por ejemplo, para ver si alquien más reportó el mismo fraude o el número de teléfono utilizado por los delincuentes.
Y por último, instalar una solución de seguridad en el teléfono para detectar a tiempo cualquier comportamiento malicioso en nuestros dispositivos.
Fuente info
Autor: Juan Manuel Harán