Nuevo engaño vía WhatsApp: Ofrecen falsas tarjetas de supermercado
- Martes 2 de noviembre de 2021
- 12:15 hrs
El engaño tiene como objetivo llevar tráfico a sitios de publicidad y finalmente descargar una aplicación potencialmente peligrosa en el dispositivo del usuario.
Un nuevo engaño está circulando a través de WhatsApp en el cual se suplanta la identidad de la cadena chilena de supermercados Jumbo. Así lo advirtió ESET, compañía líder en detección proactiva de amenazas.
El mensaje intenta engañar a los usuarios y convencerlos de que con motivo de la celebración del aniversario número 50 están regalando tarjetas con dinero para gastar en los supermercados. El engaño tiene como objetivo llevar tráfico a sitios de publicidad y finalmente descargar una aplicación potencialmente peligrosa en el dispositivo del usuario.
El primer contacto con la víctima se realiza enviando cuando recibe un enlace al sitio web en donde se realizaría la entrega del supuesto regalo. Este mensaje, además, proviene de un contacto conocido de quien lo recibe, haciendo que el engaño tome más credibilidad. Esto es algo que ESET ha identificado en reiteradas oportunidades en engaños similares, como el reportado en septiembre en el cual se suplantaba la identidad de otra popular cadena de México.
Sin ingresar siquiera al sitio del mensaje, se pueden observar indicadores de phishing: el enlace no pertenece a un dominio real de la compañía, sino que se trata de un sitio ajeno con un subdominio llamado “jumbo”.
Dentro de la página fraudulenta se encuentran varias imágenes y logos de la marca, además del ofrecimiento de una tarjeta de regalo por un alto valor monetario. Para obtener el premio, se solicita al usuario completar un cuestionario de cuatro preguntas y se muestran falsos comentarios de supuestos ganadores de este premio.
Una vez que la víctima completa las cuatro preguntas, que funcionan como distracción, se le solicita un paso más antes de reclamar la supuesta tarjeta de premio: compartir el mensaje con 20 contactos o cinco grupos de WhatsApp haciendo clic en el botón verde. Esto provoca que se distribuya el mensaje inicial. Mediante esta estrategia es que este tipo de campañas maliciosas llegan a una gran cantidad de personas en cuestión de horas.
Luego de completar este paso, el engaño lleva a las víctimas por varios sitios en los que se muestra publicidad y se invita a participar de juegos por otros premios. Si bien las imágenes con el nombre de la cadena de supermercados siguen apareciendo en estos sitios, las menciones a las tarjetas de regalo no.
Por último, la víctima llega a una página en la cual se solicita instalar una supuesta actualización de una aplicación de VPN para poder continuar. Con un mensaje que simula ser un pop-up en un sitio de videos, el engaño busca generar sentido de urgencia al usuario, advirtiendo que la instalación es necesaria para “seguir viendo en modo seguro”.
Esta aplicación, disponible para dispositivos iOS, cuenta con pocas reseñas reales dentro de la App Store e incluye una política de privacidad ambigua, lo que puede derivar en que la información de la víctima sea comercializada o robada.
“Una vez más, recordamos la importancia de verificar la veracidad de cualquier comunicación que lleve consigo el nombre de una gran marca o compañía. Además, es importante estar atentos a si el mensaje busca generar sensación de urgencia o felicidad, o si el medio por el cual se recibió el mensaje es un medio usual para recibir ofertas, problemas o reclamos”, menciona Martina López, Investigadora de Seguridad informática de ESET Latinoamérica.
Jumbo a través de su cuenta de Twitter ha confirmado a usuarios que recibieron el mensaje que se trata de un engaño y que están trabajando para evitar que siga circulando.
Considerando este esenario, aconsejan acompañar estas precauciones con la instalación de una solución de seguridad en los dispositivos móviles. “Campañas como estas o similares incluyen publicidades que invitan al usuario a realizar alguna descarga o abrir algún archivo, con lo cual resulta indispensable contar con la última barrera de protección en caso de haber caído en el engaño”, concluye López de ESET.