Analizamos una campaña fraudulenta que en los últimos días ha estado circulando en varios países de la región a través de WhatsApp. El engaño suplanta la imagen de reconocidas compañías automotrices, como Toyota o Volkswagen, para hacerle creer a los usuarios que como parte de la celebración del 80 aniversario están entregando regalos. Lamentablemente, el objetivo final de los responsables detrás de esta campaña es suscribir a la víctima a servicios de SMS Premium.

Este tipo de engaños a través de WhatsApp son muy recurrentes. Los estafadores no solo utilizan la imagen de reconocidas marcas u organizaciones, sino que suelen utilizar diferentes temáticas para intentar engañar a los usuarios con un modus operandi muy similar.

En el caso de los engaños vía WhatsApp, el mensaje suele llegar al usuario desde un contacto de confianza, probablemente porque el remitente ha caído en la trampa. Recordemos que en un momento determinado este tipo de engaños suele solicitar a la víctima reenviar el mensaje entre los grupos o contactos para supuestamente poder recibir el regalo.

https://www.welivesecurity.com/wp-content/uploads/2021/06/Auto_2-300x175.jpg 300w, https://www.welivesecurity.com/wp-content/uploads/2021/06/Auto_2-257x149.jpg 257w" alt="" width="600" height="350" />Imagen 1. Mensaje fraudulento en WhatsApp haciendo referencia a la supuesta celebración del 80 aniversario de Toyota.

En la siguiente fase, una dinámica solicita al usuario elegir entre varias opciones, y en caso de acertar, obtendrá un regalo que ofrece la marca automotriz. Después de un par de intentos, finalmente el usuario “logra elegir una opción ganadora” y el regalo es nada más ni nada menos que un automóvil; un premio extremadamente bueno para una dinámica tan sencilla.

Probablemente el atractivo del premio sea la razón por la cual las personas no dudan en propagar el mensaje, ya que como parte de la dinámica se requiere “informar sobre las promociones a 5 grupos o 20 amigos”, así como ingresar una dirección de correo y completar un registro, donde continúa la recopilación de información de la víctima, especialmente el número de teléfono.

Si el usuario comparte el mensaje con sus contactos los operadores detrás de esta campaña conseguirán que el mensaje siga circulando, haciendo a su vez que aumenten las posibilidades de que otros usuarios caigan en la trampa debido a que el mensaje no llega de parte de un desconocido.

Además, la campaña hace uso de elementos apócrifos para convencer al usuario mediante ingeniería social de que se trata de algo legítimo, como algunos comentarios de supuestos participantes que han obtenido premios similares a los ofertados o que han participado, así como un número elevado de “Me gusta” en la publicación del concurso, mismos que podrían agregar credibilidad al engaño.

Si el usuario continúa la interacción con esta campaña, es dirigido a otros sitios que incluyen más concursos. Sin embargo, en estos casos se solicita validar que se trata de una persona real mediante el envío de un mensaje SMS. Este tipo de acciones lo que generalmente buscan es hacer que el usuario se suscriba con su número de teléfono a servicios de mensajería SMS Premium, de forma que la campaña logra ser monetizada.

Incluso en la pantalla de la aparente verificación del usuario se indica que múltiples mensajes SMS serán enviados en esta fase y que los mismos que serán cobrados a la víctima. Por último, en cada interacción con el sitio se intenta abrir y descargar diversos archivos en el dispositivo, lo que también podría implicar más riesgos para el usuario.

Recomendaciones de seguridad para evitar este tipo de fraudes

La primera de todas las recomendaciones es hacer caso omiso a este tipo de mensajes, incluso si provienen de contactos de confianza, ya que como mencionamos en el análisis de la campaña, es muy probable que el remitente haya sido víctima del engaño.

La mejor opción es eliminar este tipo de mensajes sin interactuar con ellos, ya que por un lado el usuario evitar convertirse en víctima y al mismo tiempo rompe con la cadena de distribución de la amenaza.

Por último y no menos importante, es recomendable contar con una solución de seguridad instalada, configurada y actualizada en el dispositivo, que permita identificar y bloquear los sitios ofensivos o maliciosos utilizados por estas campañas fraudulentas.