En el Blog del Laboratorio de ESET se han explicado varios fraudes que utilizan distintas temáticas para engañar al usuario. En este post se describe otro caso de scam que utiliza un supuesto préstamo de dinero como técnica de Ingeniería Social para manipular al usuario y lograr el robo de datos personales.

Los cibercriminales utilizan diversas amenazas informáticas para obtener rédito económico. Las más comunes suelen ser los códigos maliciosos, phishing y scam. Este último busca engañar a la víctima empleando diversas temáticas como herencias personalizadas, el clásico “trabaje desde su casa”, premios de supuestas loterías, entre otros. En la mayoría de los casos, se suelen ofrecer grandes "recompensas" a cambio de un poco de información. Por ejemplo en el caso del scam del préstamo, el primer correo electrónico menciona escuetamente la posibilidad de un adelanto de dinero, sin embargo, es necesario el envío de datos como nombre y apellido, monto del préstamo, país, número telefónico, etc. Además, cabe destacar que la dirección del remitente es diferente a la que se especifica como contacto:

Primer correo del scam

Realizando un seguimiento de este caso, el Laboratorio de Investigación de ESET Latinoamérica pudo determinar que los atacantes intentan seducir a la potencial víctima mencionando características tentadoras y que diferencian a este "préstamo" de cualquier otro genuino. En esta línea, destaca que el préstamo no requiere de un aval, ni de buen estado crediticio y tampoco carece de penalidad en caso de no pago. Asimismo, el monto ofrecido asciende a los 500.000 dólares con una tasa de interés del 3% pagadero a diez años. A continuación se muestra una captura con dicha información:

Características del supuesto préstamo

Una vez que los atacantes seducen a la víctima, solicitan más información con la excusa que dichos datos son necesarios para concretar el préstamo del dinero (hacer clic en la imagen para agrandar la captura):

Correo electrónico del supuesto préstamo (chico)

Tal como se puede apreciar en la captura anterior, los atacantes solicitan más información confidencial como una fotocopia de la licencia de conducir o pasaporte del usuario, y datos bancarios como nombre de la entidad, dirección, nombre de usuario, número de cuenta y código de la sucursal. Aunque en este caso los responsables de este scam no solicitan dinero explícitamente, sí piden datos que pueden ser utilizados para suplantar a la víctima y adquirir bienes y servicios utilizando documentación robada. Un ejemplo simple de esto sería que los ciberdelincuentes podrían dar de alta planes de telefonía móvil, servicios bancarios, conexiones a Internet y otros productos o servicios simplemente utilizando la información obtenida. Asimismo, esta situación puede repercutir no solo en el impacto económico de la persona, sino también en problemas legales dependiendo del uso que le den los atacantes a la información robada.

Finalmente, analizando la redacción y gramática de los correos involucrados en este scam, es altamente probable que sea una traducción de otro fraude escrito originalmente en un idioma distinto al español. Por eso, es fundamental que el usuario no entregue información sensible a través de medios electrónicos como correos electrónicos, redes sociales, etc. Además, nunca deben enviarse fotocopias de documentos personales como pasaporte, cédula de identidad, y otros; a personas o instituciones cuya reputación no pueda ser debidamente comprobada.

André Goujon
Especialista de Awareness & Research