También puedes abrir el chat de WhatsApp haciedo clic aquí.

Nuevamente, una campaña de ingeniería social está circulando mediante WhatsApp suplantando la identidad de una conocida compañía Argentina. En esta ocasión, se utiliza la imagen de la empresa de combustibles YPF.

En el primer contacto con el engaño, el usuario recibe un mensaje anunciando el supuesto aniversario número 100 de la compañía. Si bien el idioma del mensaje no se corresponde con el del usuario, es probable que este mensaje provenga de algún contacto de la víctima, lo cual hace que en muchas ocasiones puede generar una falsa sensación de confianza.

Además del mensaje en inglés, podemos observar otros indicadores de un típico engaño de ingeniería social, como la promesa de regalos y un sitio web que no está relacionado con el sitio oficial de la compañía mencionada.

Imagen 1: Mensaje recibido por la víctima para distribuir el engaño

En el sitio fraudulento podemos encontrar tanto referencias a la compañía con imágenes, logos y colores, así como comentarios de falsos ganadores, para hacerlo más creíble a ojos de las víctimas.

Imagen 2: Elementos de la página principal del sitio engañoso que buscan darle credibilidad

Para recibir el supuesto premio, la víctima debe responder un cuestionario con preguntas de poca relevancia, como su opinión sobre la compañía suplantada o su edad.

Luego de finalizar el cuestionario, el sitio redirige al usuario nuevamente para descubrir su premio con un falso juego de azar que, sin importar qué seleccione, hará que la víctima siempre gane el premio final de 30.000 pesos argentinos.

Para recibir el premio seleccionado, el usuario debe compartir un mensaje por WhatsApp a contactos o grupos, el cual no es más que la propagación del engaño.

Imagen 3: Sitio donde se anuncia el falso premio.

Imagen 4: Sitio donde se anuncia el falso premio, obligando a la víctima a propagar el engaño para conseguirlo

Imagen 5: Sitio donde se anuncia el falso premio, obligando a la víctima a realizar ciertas acciones para recibir el supuesto premio

Imagen 6: Acción sospechosa que solicita realizar el engaño

Finalmente, y una vez propagada la campaña maliciosa, el sitio redirige a la víctima a sitios de publicidad. Estos no solo no tienen referencia alguna al falso premio supuestamente ganado, sino que publicitan aplicaciones o sitios de dudosa procedencia, lo cual puede desencadenar otro ataque de aún mayor calibre, como una infección por software malicioso.

Desde YPF advirtieron a través de sus redes sociales que estaba circulando este engaño y recuerden que los concursos que realizan los anuncian siempre por sus canales oficiales.

No es la primera vez que este tipo de engaños circula, y menos de forma masiva. Suplantando a compañías reconocidas como Amazon, campañas similares recorren el mundo, utilizando todo tipo de excusas y aprovechando situaciones como la crisis económica provocada por la pandemia.

Recomendaciones

Ante la recepción de este tipo de mensajes, es importante estar alerta ante la posibilidad de que se trate de un engaño, incluso si proviene de un contacto o conocido, ya que puede haber sido engañado también.

Además, siempre sospechar de una oferta o un regalo demasiado buena para ser verdad: Ganancias en dinero, viajes, descuentos increíbles, electrónicos, y más. Esta es una estrategia que utilizan los cibercriminales para captar más aún la atención de futuras víctimas.

También se debe considerar el medio de recepción del mensaje y su masividad, y cuestionarnos, como usuarios: ¿Esta compañía tiene registro de mi número de celular (o usuario) como cliente, para ofrecerme un regalo? ¿El medio por el cual recibí el mensaje, es una vía por la cual la compañía se suele comunicar? ¿Es redituable para la compañía hacer este tipo de regalos masivos? Si alguna de estas respuestas nos genera dudas sobre la veracidad de la campaña, es mejor no acceder a la misma.

Finalmente, tener una solución de seguridad instalada en nuestros dispositivos móviles nos advertirá de sitios maliciosos y descargas fraudulentas, así como protegernos ante piezas de software malicioso, en el caso de haber caído en el engaño.