Una nueva campaña de ingeniería social a través de WhatsApp aprovecha la situación del COVID 19 para engañar a los usuarios con una falsa promoción. La misma comienza con un mensaje en el que se suplanta la identidad de una popular marca de cerveza a nivel internacional, sobre una promoción que ofrece barriles de cerveza gratis, con envío a domicilio, durante los días de cuarentena.
Aparentemente, el mensaje se ha distribuido en varios países de América Latina, tal como puede observarse en la Imagen 2 sobre las búsquedas realizadas en Google para el título del mensaje.
Volviendo al mensaje inicial, varios aspectos podrían llamar la atención del receptor y hacerlo dudar sobre su veracidad . Uno de ellos es que, si bien se trata de una marca con presencia internacional, el mensaje no hace referencia a los países en los que está vigente esta supuesta promoción, lo cual es muy extraño dado que sería imposible pensar en una acción de este tipo a nivel mundial. También debería servir como señal de alerta que no se haga referencia alguna a una fecha de inicio o finalización de la oferta, ya que es un dato que suele aparecer en las comunicaciones oficiales de este tipo de promociones. Por último, un tercer elemento que debería llamar la atención del usuario es la utilización de un servicio de acortador de enlace (bit.ly). Los acortadores suelen ser utilizado en este tipo de engaños por varias razones, ya que de esta manera se logra ocultar el nombre de la URL de destino final al que se invita a acceder al usuario y permite también utilizar de una forma más sencilla el nombre de la marca cuya identidad se suplanta. Además, a través del acortador de enlaces se logra mostrar a los usuarios desprevenidos una URL que contiene HTTPS, lo cual en algún momento fue suficiente para creer que se trataba de un sitio seguro.
En caso de que la víctima decida avanzar y haga clic en el enlace, se encontraría con la verdadera URL:
Como se observa en la porción de URL visible, se puede verificar que definitivamente no se trata de un sitio o micrositio de la firma que dicen representar, sino que se trata de una supuesta página de cupones de descuento.
Paso seguido, el usuario se encontrará con una encuesta que será necesario que complete para el supuesto beneficio.
Finalizado el supuesto proceso de verificación se desplegará la siguiente pantalla en la que se indica al usuario que debe compartir el mensaje de la promoción con al menos 15 contactos de WhatsApp para poder avanzar.
De esta manera se busca maximizar la distribución de la campaña y a la vez hacerla más efectiva, ya que probablemente los usuarios estarán más predispuestos a acceder al enlace y completar la encuesta si el mensaje llega de un contacto que si llega de una fuente desconocida.
Durante el análisis no se detectó la intención de instalar códigos maliciosos adicionales en el dispositivo de la víctima, sino que la campaña en apariencia se monetiza desplegando publicidad no deseada a lo largo del proceso y al terminar de compartir con los contactos.
En un análisis de los sitios involucrados a lo largo del proceso (se identificaron al menos dos), se corrobora que los mismos fueron registrados en los últimos días.
También cabe destacar que ambos dominios fueron registrados con servicios de privacidad de identidad, situación por demás sospechosa si se tratara de una empresa oficial que organiza este tipo de promociones.
Este modelo de engaño con el objetivo de distribuir publicidad en el dispositivo de la víctima es muy recurrente. Para estar protegido de estos y otras campañas de phishing, recomendamos utilizar una solución de seguridad tanto en el dispositivo móvil como en la computadora.
Por otra parte, tener siempre presente que se debe evitar acceder a enlaces que llegan ofreciendo oportunidades inesperadas, ya sea por una red social o por el correo electrónico, y comparar el enlace del mensaje con el del sitio oficial para corroborar que la URL es legítima. También se recomienda buscar en los sitios oficiales información acerca de la promoción para corroborar su veracidad.