Falso, sorteo de productos devueltos de Mercado Libre circula en WhatsApp
Jueves 07 de Julio de 2022 12:00 am
+ -ESET Latinoamérica, compañía líder en detección proactiva de amenazas, alerta sobre una campaña fraudulenta que circula vía WhatsApp e intenta engañar a usuarios haciendo creer que Mercado Libre está sorteando 10.000 productos que fueron devueltos.
Ciudad de México – Desde el Laboratorio de Investigación de ESET,
compañía líder en detección proactiva de amenazas, se analizó una nueva campaña fraudulenta que circula
vía WhatsApp en la que se suplanta la
identidad de Mercado Libre intentando convencer a potenciales víctimas que la compañía está
sorteando productos que han sido devueltos.
El engaño llega a las víctimas a través de un mensaje
que muchas veces es enviado por un contacto conocido, algo común en los engaños que se distribuyen a través de WhatsApp. En este caso se hace referencia a
un supuesto sorteo que realiza Mercado Libre de productos que fueron devueltos.
Además, incluye un enlace oculto por un acortador que lleva a la potencial
víctima a un sitio fraudulento que simula ser el sitio oficial de la popular
plataforma de compra y venta de artículos.
Una vez dentro del sitio se observa una estructura
similar a la de otras campañas fraudulentas reportadas previamente por ESET,
como el engaño que suplantaba la identidad
de la cadena de supermercados Costco. El diseño del sitio falso utiliza elementos como el
logo y los colores oficiales para que parezca real. Además, para generar
confianza, incluye un cuestionario para que el usuario opine sobre la compañía
y comentarios falsos de supuestos ganadores.
Luego de responder las preguntas, el sitio le presenta
a la víctima otro sorteo, muy alejado de los supuestos productos devueltos. En
este, el usuario tiene 3 posibilidades para encontrar el falso premio que,
independientemente de lo que se seleccione, siempre lo encuentra. Estos premios
suelen ser de alto valor, como un smartphone último modelo o dinero en
efectivo.
Para reclamar el supuesto premio, sin embargo, la víctima debe realizar una acción crucial para este engaño: difundir entre sus contactos de WhatsApp esta falsa oportunidad. Esto permite que la campaña tenga en poco tiempo un alto alcance y sin necesidad de que el cibercriminal intervenga. También es la razón por la que el mensaje inicial llega a la víctima de un contacto conocido.
Sin embargo, y luego de anunciar el supuesto premio,
la víctima es redirigida a otro sitio que utiliza técnicas de ataques conocidos
como scareware con el objetivo de hacerle creer que su dispositivo está
desactualizado y en peligro. Además, el engaño recomienda descargar una
aplicación en los próximos minutos para intentar despertar la sensación de
urgencia y que el usuario no dude en instalar la aplicación desconocida.
En esta instancia, ya no se hace mención al sorteo o
regalo para la víctima. Esto debería ser suficiente para la víctima note que
hay algo sospechoso y decida no continuar interactuando con el sitio. Sin
embargo, parte de la estrategia en este tipo de fraudes es tratar de lograr que
la víctima se “olvide” por un momento del supuesto premio y para ello utilizan
cuestionarios, botones o comentarios que de nada sirven.
Si bien el enlace para descargar la falsa
actualización se encuentra dado de baja al momento, desde ESET afirman que el
dominio utilizado aloja otros sitios maliciosos que suplantan la identidad de
otras compañías, todos con un objetivo similar: desplegar publicidad
fraudulenta, recolectar información personal, o incluso descargar malware.
“Lamentablemente, las campañas maliciosas intentando
suplantar la identidad de plataformas de comercio electrónico mediante sitios
falsos son frecuentes. Según datos de los sistemas de telemetría de ESET, la
temática ecommerce fue la tercera más utilizada para sitios de phishing durante
el último trimestre de 2021 con un 9.8% de los mismos, una tendencia que sigue
en crecimiento durante este año también.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde ESET, comparten las siguientes recomendaciones
para detectar y evitar este tipo de engaños:
·
Desconfiar
de cualquier comunicación que ofrezca regalos, beneficios o dinero en grandes
cantidades, y sin ninguna condición asociada. Esto suele ser una excusa para
llamar la atención de las víctimas
·
Verificar
el enlace del sitio y su relación con la compañía de la cual dice ser, aún si
el sitio cuenta con los colores y logo oficial. En este caso, el dominio no
guardaba relación con el oficial de Mercado Libre, lo cual debería ser la
primera señal de alerta para no ingresar.
·
Ignorar
mensajes que adviertan sobre la infección con malware o falta de
actualizaciones en el dispositivo siempre que no provengan del propio
dispositivo o de una solución de seguridad. Este tipo de mensajes suelen
mostrarse en el navegador y están diseñados para alarmar al usuario y
convencerlo de que ingrese a un sitio sospechoso o descargue software
malicioso.
·
Contar
con una solución de seguridad robusta instalada en el dispositivo, para evitar
infecciones y bloquear posibles comunicaciones de phishing y spam.
Para conocer más sobre seguridad informática ingrese
al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/07/06/whatsapp-falso-sorteo-productos-devueltos-mercado-libre/
Por otro lado, ESET invita a conocer Conexión Segura, su
podcast para saber qué está ocurriendo en el mundo de la seguridad informática.
Para escucharlo ingrese a:
https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
