También puedes abrir el chat de WhatsApp haciedo clic aquí.
Una nueva campaña maliciosa circula por WhatsApp aprovecha la situación del COVID-19 como parte de su ingeniería social y tiene como objetivo obtener datos personales y redireccionar a los usuarios para la descarga de aplicaciones de dudosa reputación para monetizar el ataque.
La campaña, activa al momento de escribir este artículo, busca suplantar la identidad del Gobierno Argentino para ofrecer una supuesta ayuda económica y llega a los usuarios a partir del siguiente mensaje:
Imagen 1. Mensaje de WhatsApp que hace referencia a una supuesta tarjeta alimentaria que está ofreciendo el gobierno
Como suele pasar en este tipo de campañas, el mensaje intenta convencer a la víctima que debe actuar rápidamente al señalar que estas supuestas ayudas se pueden agotar. Asimismo, se menciona el nombre de una persona para darle mayor credibilidad al mensaje. Sin embargo, como se puede apreciar en la porción visible de la URL (difuminada por motivos de seguridad), el dominio al que se invita a acceder no corresponde a ninguna entidad oficial. Es importante que los usuarios tengan en cuenta que el gobierno no anunció por ninguna vía oficial una ayuda de este tipo, lo cual podría servir como señal de alerta. Si el receptor de este mensaje realiza una simple búsqueda en Internet podrá corroborar que se trata de un engaño que ya fue advertido por otros medios.
Imagen 2. Búsqueda en Google muestra resultados de otros medios alertando sobre este mismo engaño
Análisis del engaño
En caso de que un usuario desprevenido acceda al enlace se encontrará con la siguiente pantalla:
Imagen 3. Sitio que intenta suplantar la identidad del Gobierno de Argentina
Como se aprecia en la Imagen 4, en el siguiente paso la campaña rápidamente busca obtener el nombre y teléfono de contacto de las potenciales víctimas.
Imagen 4. Solicitud para ingresar nombre y número de teléfono
Posteriormente, la campaña informa cuáles son los pasos a seguir para acceder al supuesto beneficio.
Imagen 5. Pasos que debe seguir la víctima para acceder la supuesta ayuda
Al igual que hemos visto en otras campañas de similares características, se utiliza el recurso de mostrar comentarios de otros supuestos beneficiaros de la ayuda con la intención de darle veracidad a la estafa.
Imagen 6. Falsos comentarios de otros supuestos beneficiarios de la ayuda
Una vez que la víctima ingresa los datos, sin ningún tipo de validación, el sistema informa que el usuario califica para recibir la supuesta tarjeta alimentaria.
Imagen 7. El sistema informa que tras ingresar los datos el usuario califica para recibir la supuesta ayuda
En una siguiente etapa la campaña busca confirmar los datos ingresados.
Imagen 8. Instancia que busca confirmar que los datos ingresados sean correctos
Luego, con la promesa de ser un requisito para recibir la ayuda, el engaño busca que la potencial víctima comparta el mensaje con sus contactos para poder continuar con el proceso. En esta instancia no solo se vuelve a corroborar que no se verifica la información ingresada (ya que en el campo nombre se ingresó “Nombre”), sino que se observan errores ortográficos -una constante que se repite en varias de las pantallas por las que deben pasar los usuarios- que deberían despertar sospecha.
Imagen 9. Es requisito que la víctima comparta el mensaje con un número mínimo contactos para poder continuar
Luego de la acción de compartir, y nuevamente apelando a la necesidad de las personas -incluso ofreciendo la ayuda alimentaria durante tres meses-, el sistema informa que necesita verificar que hay una persona realizando la acción y que para corroborar esto instalará una aplicación en el celular a través de la cual enviará un código que deberá ingresar en el campo que se observa en la Imagen 10.
Lo interesante de este accionar es que, a diferencia de otras campañas maliciosas en las que se intenta instalar aplicaciones de forma automática o redireccionando al usuario sin previo aviso, en este caso puntual se busca advertir y explicar que se llevará a cabo esta acción para que pueda ingresar el supuesto código para poder avanzar.
Imagen 10. Instancia en la que solicita descargar una aplicación a través de la cual llegará un supuesto código que deberá ingresar para verificar que es una persona real
Luego de redireccionar al usuario a las tiendas oficiales de Google y Apple, se mostrarán diferentes aplicaciones, en su mayoría juegos, que solicitan permisos excesivos. Para el análisis de esta campaña no descargamos ninguna aplicación y probamos con éxito ingresar un código aleatorio para completar el campo requerido.
Como puede observarse en la Imagen 11, en la siguiente instancia el engaño busca que el usuario ingrese la dirección postal en la que eventualmente desearía recibir el beneficio.
Imagen 11. Instancia en la que solicita ingresar la dirección postal en la que desea recibir la supuesta ayuda
Una vez completado este último paso el sistema simula realizar una verificación de los datos ingresados.
Imagen 12. Verificación de los datos
El mensaje de la última pantalla que se muestra a la víctima (Imagen 13) indica que las víctimas deberán esperar al menos 24 horas para recibir la tarjeta alimentaria, lo que permite que el mensaje inicial que llega a través de WhatsApp siga siendo distribuido entre los contactos antes de comenzar a dudar.
Imagen 13. Finalizado el proceso, el engaño indica que se deberá esperar 24 horas para que llegue el beneficio
Recomendaciones de seguridad
Este tipo de engaños es muy común. Basta con visitar categorías como phishing o engaños en WeLiveSecurity para ver la cantidad de alertas que hemos reportado en el último tiempo; la mayoría de características similares. Por lo tanto, teniendo en cuenta eso, lo más importante es que los usuarios estén más atentos. En segundo lugar, contar con una solución de seguridad confiable en sus dispositivos. Asimismo, tener presente que para evitar ser víctima de este tipo de engaños es importante no hacer clic en correos sospechosos o mensajes de WhatsApp en los que se ofrecen beneficios que son demasiado buenos para ser verdad, mucho menos abrir o hacer clic en adjuntos o enlaces que formen parte de estos mensajes que suelen llegar de manera inesperada.
