Con el objetivo de encontrar usuarios desprevenidos, los ciberdelincuentes llaman la atención a través de un falso cupón de regalo, que ofrece $5.000 como parte de la celebración del aniversario de una empresa de compras Online.
El mensaje inicial, detectado por el Laboratorio de investigación de ESET Latinoamérica, llega a través de un contacto o grupo de WhatsApp. El mensaje que está circulando ofrece supuestos cupones por un valor de $5.000 como parte de la celebración del aniversario de Mercado Libre. Paralelamente hay una estafa similar que ofrece iguales condiciones pero en supermercados de la empresa Cencosud, es decir, Plaza Vea y Jumbo.
En un comunicado, ESET explicó: "Lo primero que se aprecia es el uso del nombre de la empresa (Mercado Libre) cuya identidad es suplantada como parte del nombre del dominio en la URL a la que se invita a ingresar. En este caso, los responsables detrás de este engaño utilizan el dominio completo como parte de la composición de la URL registrada y de esta manera buscan engañar a usuarios desprevenidos que no presten atención a la URL completa".
“Al igual que en el mensaje inicial que llega a través de WhatsApp, llama la atención la atemporalidad de la oferta, ya que estas campañas, en caso de ser reales, suelen incorporar la fecha a la que hacen referencia, o bien hasta cuando están vigentes. Este es otro aspecto al que deberían prestar atención los usuarios a la hora de recibir este tipo de invitaciones", mencionó Luis Lubeck, especialista en seguridad informática de ESET Latinoamérica.
Si el usuario continúa con su intención de querer obtener el supuesto beneficio, se encontrará con la una encuesta. Tras responder las preguntas del cuestionario el usuario llegará a la instancia de una supuesta verificación de las respuestas. Una vez calificado, queda en evidencia el método de distribución del engaño, ya que para continuar y obtener el supuesto beneficio se solicita a la víctima enviar el mensaje a 20 contactos o grupos de WhatsApp.
Una vez que verifican que la víctima cumplió con el requisito de compartir con sus contactos el mensaje, continúa el engaño. A partir de este paso, la obtención del cupón se reduce al “azar” y elegir la supuesta caja que contiene el prometido premio. “Habiendo analizado el engaño desde diferentes dispositivos y a lo largo de distintas horas, ESET identificó que la cantidad de cupones disponibles no se modificó y que en las pruebas realizadas siempre se ganó, sin importar la caja seleccionada", asegura Lubeck.
"En este punto, la campaña ya no solo busca distribuirse, sino que busca obtener datos financieros de las potenciales víctimas, información que solicitará en la página a la cual será redireccionada la víctima al hacer clic en el botónOK, la cual en este caso se trata de un sitio de un servicio de streaming", explica en su comunicado ESET.
