Investigadores de ESET detectaron distintas campañas de spam que intentan sacar provecho del acontecimiento mundial que se aproxima, como es la Copa Mundial de la FIFA Rusia 2018. A través de las redes sociales, el correo u otras aplicaciones de mensajería se propagan estos mensajes engañosos que utilizan conocidas técnicas de ingeniería social con el fin de estafar a las víctimas y robar su dinero.
Como una continuación del artículo publicado la semana pasada en el que advertimos a los usuarios de todo el mundo acerca de posibles estafas a las que deben estar atentos ante la proximidad de un evento como la Copa del Mundo, en esta oportunidad presentamos algunos ejemplos de estafas que estuvieron circulando los últimos días.
Esta es una versión sencilla de una clásica táctica fraudulenta que ha sido ampliamente implementada: aparentemente estás informado de que ganaste dinero en un juego tipo lotería y para recibirlo debes ponerte en contacto con quien lo organizó. En este caso, los pocos datos de contacto del organizador aparecen en el cuerpo del correo y de forma un tanto descuidada.
En un escenario similar, los estafadores transmitirán urgencia para que abras un archivo adjunto, comúnmente un documento en formato PDF o Word, en el cual te informarán acerca de los detalles del “premio” qué ganaste y cómo contactar con el organizador para que te hagan llegar el supuesto premio.
Como suele suceder, estos correos y documentos suelen ser redactados con la intención de transmitir la sensación de urgencia, solicitando a quien lo recibe que actúe dentro de un límite de días para que no pierda el “premio” (y para que no tenga mucho tiempo para pensar). Para incrementar la sensación de legitimidad, los correos incluyen varias referencias a organizaciones oficiales o que aparentan serlo. Asimismo, los mensajes pueden incluso contener sellos que parecen ser oficiales, a pesar de que en algunos casos los estafadores se apoyan en imágenes extremadamente simples.
Independientemente de si su redacción es muy simple o elaborada, la campaña tiene el mismo objetivo. Después que las víctimas hayan respondido amablemente y proporcionado su información personal, es probable que el tema se vuelva un poco más espeso. Siguiendo el típico libreto de los fraudes de esta naturaleza, los estafadores persuaden al destinatario de que necesita pagar para que puedan enviarle el premio. Puede suceder también que los estafadores intenten convencer a la víctima de que deberá ir enviando dinero en más de una oportunidad, hasta que la víctima se dé cuenta de su error y termine abandonando el juego.
Adicionalmente, al responder el correo que llega inicialmente, la víctima le está confirmando al estafador que la dirección de correo está siendo utilizada por una persona activa. De esa manera, están autoseleccionándose para ser bombardeados incluso por más spam y posiblemente otras amenazas, tanto del mismo grupo como por otros estafadores que pueden comprar listas de direcciones de correos de sus pares.
Otro truco que intentan es prometer viajes gratuitos a la Copa del Mundo junto con los estafadores haciéndose pasar por uno de los patrocinadores del evento. La imagen 5 es un ejemplo de esto, donde vemos una campaña dirigida a los usuarios de Brasil que pretende simular ser una oferta de VISA.
En este caso los estafadores intentan embaucar a su objetivo para que participe de un concurso que premia a los ganadores con un viaje a Rusia con todos los gastos pagos. Lo único que debe hacer quien recibe el mensaje para poder participar es registrarse y realizar una pequeña compra. Experiencias pasadas demostraron que la presencia de falsas marcas oficiales es suficiente para lograr engañar a muchas personas y que terminen entregando su información personal. En este sentido, los usuarios de WhatsApp brasileños fueron víctimas de una estafa de este tipo hace apenas unos días, tal como publicamos la semana pasada.
Tal como dijo el investigador de seguridad de ESET, Miguel Ángel Mendoza, “las trampas también incluyen venta de entradas falsas, noticias falsas o enlaces a sitios maliciosos que pueden ser la puerta de entrada para el malware u otras amenazas. Las campañas de Phishing también son comunes”, aseguró.
De hecho, más allá de engañarte para que proporciones tu información personal en una página de phishing, un atacante puede incluso enviarte un mensaje con un enlace a un sitio que genera ingresos mediante publicidad falsa o infectarte con un malware a partir de una descarga involuntaria. En caso de utilizar esta última técnica, la máquina del usuario estará comprometida tan solo con visitar dicho sitio, en la medida en que el malware pueda excavar dentro del sitio y el código logre explotar una vulnerabilidad; generalmente en el navegador o en algún plugin, y que se instale a sí mismo en computadoras vulnerables. Esto habilita a los cibercriminales, entre otras cosas, a que roben información personal o asocien la máquina a una botnet.
Los investigadores de ESET también han identificado el registro de nombres de dominio cuestionables. Mientras que esos dominios no están momentáneamente en uso o están alojados en servicios de hosting de bajo costo, varios parecen estar a la espera de ser utilizados en un futuro, aunque con un fin sospechoso.
Es importante estar al tanto de las estrategias de ingeniería social más utilizadas por los estafadores, aseguró el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez. ”A medida que más aprendemos como usuarios , más difícil será para los atacantes propagar sus campañas y que sean efectivas”, comentó.
Los ejemplos que vimos en este artículo son simplemente una muestra de la manera en la que los estafadores intentan engañar a los fanáticos del fútbol para que proporcionen su información personal, dinero o ambas. La temporada de estafas relacionadas con la Copa del Mundo va creciendo a medida que nos acercamos a la fecha del inicio. Por lo tanto, es necesario estar atentos para que puedas disfrutar del espectáculo deportivo sin caer en ningún tipo de estafa que opaque la fiesta deportiva que estamos por vivir.
Fuente: Welivesecurity.com