Desde el Laboratorio de Investigación de ESET Latinoamérica encontramos se ha estado propagando mediante mensajes de WhatsApp un falso sorteo de una marca de ropa española, Zara, que busca engañar a las víctimas para que regalen sus direcciones de correo y compartan el mensaje a 10 contactos diferentes.

Es una campaña muy similar a la que reportamos la semana pasada con el falso voucher para Starbucks, que se propaga en distintos países e idiomas. Lo interesante del caso que encontramos es que el engaño circula en español, a pesar de que los casos reportados en las últimas 72 horas se habían visto en inglés.

La estafa comienza con la recepción por parte de la víctima de un mensaje que la invita a participar del sorteo, al ingresar desde su navegador en el dispositivo móvil lo que ve es una pantalla como la siguiente:

Para aquellos que realmente creyeron que se podían ganar un voucher, lo que sucede es lo siguiente: se les van a realizar cuatro preguntas sobre si son clientes de la empresa o no, cada cuánto van a la tienda, y hasta qué distancia estarían dispuestos a viajar para ir a un nuevo local.

Luego de responder a diferentes preguntas sobre las tiendas de ropa, se los invita a reenviar la invitación a al menos 10 contactos diferentes, si es que quieren recibir su supuesto voucher por 500 unidades de la moneda local del país donde se visite. A continuación, vemos un ejemplo que promete 500 pesos argentinos:

zara_encuesta
Hasta que el usuario no invite a 10 contactos o grupos de WhatsApp, no se le “permite” obtener su voucher:

zara_compartir

Entre los puntos curiosos de esta campaña encontramos que los cibercriminales utilizan la dirección de IP del dispositivo que se conecta para conocer su ubicación, y de esta manera hacerle creer a sus víctimas que la tienda se abrirá cerca de donde se encuentren.

zara_cupon

Otro de los puntos curiosos de esta campaña es que la moneda que aparece en la encuesta varía según el país del que se acceda en base a diferentes reportes de usuarios.

Si el usuario cayó en el engaño y llegó hasta el final de la encuesta, será alertado de que su dispositivo se encuentra desactualizado y que debe instalar una actualización. Esta segunda parte del engaño puede llevar al usuario a instalar aplicaciones no deseadas o suscribirse a un sistema de mensajes SMS Premium que le incurrirán en un costo extra en su línea de teléfono.

A continuación podemos ver la falsa alerta de actualización:

zara_actualizacion

Ahora, si el usuario cae en este segundo engaño e intenta actualizar, se muestra otro mensaje que le puede hacer creer que su teléfono está infectado con algún tipo de código malicioso. Pero, para poder analizarlo, deberá aceptar los términos y condiciones de un servicio y pagar por cada mensaje que reciba:

zara_infeccion

Este tipo de engaños se suelen utilizar para que las víctimas intenten instalar supuestas actualizaciones o aplicaciones de seguridad, que podrían llevar a comprometer aún más la seguridad de sus dispositivos. No se trata de una investigación de mercado, ni de la apertura de una nueva tienda de ropa, ni nada que se le parezca; es un engaño que busca persuadir a los de que entreguen su información y propaguen este scam a su lista de contactos.

Para evitar este tipo de engaños, desde el Laboratorio de ESET Latinoamérica recordamos:

  • No seguir enlaces engañosos que lleguen a través de mensajes de texto, WhatsApp u otros mensajeros
  • No entregar información personal si la fuente no es confiable
  • No instalar aplicaciones de repositorios no oficiales
  • No compartir a los contactos mensajes maliciosos o que parezcan sospechosos
  • Utilizar una solución de seguridad que bloquee las aplicaciones maliciosos y los sitios fraudulentos.

Considerando que gran parte de los engaños hoy en día circulan aprovechando la popularidad y cantidad de usuarios de las plataformas principales, recomendamos asimismo proteger WhatsApp aplicando las siguientes medidas:

  • Bloquear las fotos de WhatsApp para que no aparezcan en la galería
  • Ocultar la notificación de “última vez conectado”
  • Restringir el acceso a la foto de perfil
  • Tener cuidado con las estafas
  • Desactivar WhatsApp si se pierde el teléfono
  • Tener cuidado con la información que se transmite a través de la plataforma

Para más consejos, no olviden de revisar nuestra Guía de Seguridad en Dispositivos Móviles.