Phishing activo a través de WhatsApp promete cafetera Nespresso gratis

En el día de hoy llegó al laboratorio de ESET Latinoamérica un mensaje de WhatsApp que promovía una campaña de phishing. Para los amantes del café, el engaño iba a resultar atractivo, ya que ofrecía una cafetera gratis de una conocida marca, además de un año de cápsulas incluidas.

Imagen 1 – Mensaje que llega a través de WhatsApp con el engaño

Si bien el mensaje contiene la imagen oficial de la marca y en la URL se lee el nombre Nespresso, la realidad es que se trata de un phishing que busca engañar a usuarios desprevenidos mediante la suplantación de la identidad de la marca oficial con el objetivo de mostrar publicidad y que las víctimas compartan el engaño a través de WhatsApp para que siga circulando.

El usuario que en un primer momento se considere “afortunado” de recibir el mensaje y acceda al enlace, se encontrará con la siguiente pantalla:

Imagen 2 – Solicitud para realizar una encuesta

Como se aprecia en la Imagen 2, la víctima es inducida a completar una breve encuesta sobre sus preferencias a la hora de tomar café, para luego hacerle creer que ha sido seleccionado para recibir una de las 414 máquinas disponibles a cambio de que comparta el mensaje con 15 contactos de WhatsApp o cinco grupos.

Imagen 3 – Para obtener el supuesto premio, la víctima primero deberá compartir el mensaje a sus contactos de WhatsApp

Los actores maliciosos detrás de esta campaña se toman el trabajo de verificar que los usuarios que llegan a esta instancia compartan el mensaje; inclusive contabilizan la cantidad de veces que fue compartido, dando la sensación de ser realmente seria la oferta.

Imagen 4 – Mensaje contabiliza a cuántos contactos o grupos fue enviado el mensaje

Desde el laboratorio de ESET compartimos el mensaje a contactos de prueba para analizar el comportamiento de la campaña, y verificamos que efectivamente contabilizan la cantidad de veces que fue compartido el mensaje.

Imagen 5 – La campaña efectivamente monitorea a cuántos contactos se envió el mensaje

Finalmente, comprobamos que pese a compartir el mensaje a la cantidad de contactos y/o grupos que la campaña exige, la página no hace más que seguir mostrando publicidad en la pantalla.

Imagen 6 – La barra completa muestra que el mensaje se reenvió a la cantidad de contactos que exigía

A esta altura, el usuario desprevenido que cayó en el engaño probablemente ya no pase de esta pantalla. Se le habrán desplegado al menos cuatro banners con publicidad y habrá ayudado a los criminales a distribuir la campaña a sus contactos.

Algo que observamos en la primera pantalla y que busca darle credibilidad a la campaña es la presencia de comentarios de supuestos usuarios "contentos" que, en algunos casos, ya habían recibido el tan esperado regalo.

Falsos comentarios de usuarios "contentos" luego de recibir el premio

Un aspecto curioso de la campaña es que los comentarios mostrados fueron siempre los mismos en todas las pruebas que realizamos, inclusive en distintos dispositivos y plataformas. Además, los supuestos links para ver los otros comentarios están completamente inactivos, otra señal de alerta de que indica que la página es falsa.

Al tratarse de un enlace acortado el que a través de WhatsApp, pudimos observar algunos datos estadísticos sobre el impacto de la campaña y cuántas víctimas han caído en el engaño. En este sentido, observamos que la campaña comenzó con este enlace el día 19 de abril, tuvo su pico de acceso el día 20 con más de 300.000 accesos, para llevar acumulados a la fecha de este post poco más de 420.000 accesos a la misma, aunque luego del 20 de abril se observa una marcada caída en el alcance.

Datos estadísticos sobre el impacto de la campaña en los últimos días

Luego de analizar en profundidad la campaña, no detectamos segundas intenciones, como la descargar algún programa o la instalación de extensiones en el navegador.

Vale la pena destacar que encontramos reportes de la misma campaña del año 2017, lo cual da una pauta de su longevidad. Sin embargo, migro a otros servidores y utiliza otros enlaces con el claro objetivo de seguir saltando barreras de detección de distintas soluciones de seguridad.

Al igual que con cualquier campaña de phishing o ingeniería social, para no ser víctimas de este tipo de engaño o similar, es importante que los usuarios estén atentos a este tipo de mensajes y que antes de hacer clic revisen la URL que contiene el mensaje. Otra recomendación es hacer una búsqueda en la web para ver si se encuentra información sobre esta promoción, ya sea en la página oficial o si alguien más reportó el engaño (en este caso particular se hubieran encontrado muchas alertas sobre la campaña).

Otras consideraciones a tener en cuenta son:

• Desconfíe de las promociones que lleguen a través de medios no oficiales. Las empresas suelen divulgar ofertas y promociones a través de canales oficiales, ya sea el sitio web o las redes sociales.
• Evite hacer clic en enlaces sospechosos, aunque vengan de alguien que usted conozca. Como vimos en este artículo, la propagación de la campaña se hace entre los contactos de la propia víctima.
• Instale una solución de seguridad confiable en cada uno de los dispositivos conectados a Internet que utilice.
• Mantenga sus dispositivos actualizados.
• No comparta información, enlaces o archivos sin estar seguros de su procedencia.

Para más información, recomendamos la lectura de la guía para evitar engaños en Internet.

Quizás te interese:

• Google publicó test de phishing para que usuarios aprendan a reconocer correos fraudulentos
• 5 tipos de phishing en los que no debes caer
• Estafas por Internet: 8 señales que indican que eres un blanco fácil