Los ataques de scam, así como los de phishing, utilizan la ingeniería social para engañar a la víctima, y lograr así que esta descargue una aplicación maliciosa, brinde sus credenciales de su cuenta bancaria o lo que el atacante desee. Debido a esto, los ataques que utilizan Ingeniería Social son muy peligros debido a que muchas veces el usuario por desconocimiento puede caer en el engaño de tal manera que hasta puede deshabilitar el antivirus debido a que este les bloquea el sitio malicioso. Es por este motivo que es necesario informarse acerca de las nuevas tendencias de este tipo de ataques para luego conocer su manera de proceder y gracias a esto estar prevenidos y no convertirse en víctimas de ataques que utilizan Ingeniería Social.

En este caso presentamos un ataque de scam que se abre automáticamente al navegar por distintos sitios de Internet:

A simple vista ustedes podrán pensar, esto no puede engaña a un niño siquiera, debido a que a pesar de ser idéntico en cuanto su formato, dice Thank You en lugar de You Tube. Aunque no lo crean, este simple scam puede engañar a mucha gente.

El engaño para tener un mayor porcentaje de éxito debe contar con una pequeña ayuda por parte del usuario, mantener You Tube abierto, debido a que gracias a esto es más simple que el usuario confunda este sitio con el del famoso sitio para compartir videos. Esto sucede muchas veces en lugares de trabajo, donde los trabajadores realizan sus tareas mientras escuchan música a través del famoso portal de videos, por lo que lo mantienen abierto todo el día. Gracias a esto, y a la costumbre, la víctima simplemente ve el formato del logo, y no que este dice. Debido a esto la víctima cae en el engaño y automáticamente responde una encuesta que cree es para You Tube. Adicionalmente, para crear una sensación de seguridad, el sitio muestra la fecha del día que se puede ver en el equipo.

Una vez iniciada la encuesta se deben contestar tres simples preguntas para finalmente poder elegir tu premio entre un iPhone 4S o un iPad 2:

Luego de seleccionar el premio deseado, la víctima es dirigida a otro sito en el cual deberá ingresar su número celular para poder participar por el premio que escogió anteriormente:

Al ingresar su número de celular, la víctima estará inscribiéndose a un servicio premium, el cual le estará cobrando dinero de su saldo.

En resumen, hay que tener especial cuidado con estas amenazas, debido a que por no verificar las cosas más de una vez, podemos convertirnos en víctimas de este tipo de ataques. Para resguardarse también pueden adoptar ciertos pasos para poder navegar de una manera más segura. También es imprescindible contar con una solución antivirus con capacidad de detección proactiva

Gonzalo Presa
Analista Jr. de Seguridad