Los cibercriminales siempre están buscando nuevas maneras para estafar a las personas. Aunque siempre se deben de seguir las mejores prácticas para estar lo más seguro posible, las técnicas que se utilizan actualmente pueden fácilmente engañar. En esta ocasión te vamos a contar de una nueva modalidad de fraude que utiliza Facebook Live para robar los datos bancarios de las personas.
Las redes sociales se han convertido en uno de los medios favoritos a través de los cuales los delincuentes distribuyen sus estafas y ahora ESET, compañía de ciberseguridad , alertó sobre una nueva campaña maliciosa, muy activa en Latinoamérica , que utiliza Facebook y aprovecha transmisiones legítimas , realizadas desde las cuentas oficiales de personalidades famosas , para publicarlas como transmisiones en vivo desde cuentas falsas y suplantar así la identidad de estas figuras públicas.
En estos falsos “en vivo”, como se suele decir a estas transmisiones, los estafadores publican videos reales, es decir, sí se trata de la persona famosa dando algún mensaje, pero es un contenido antiguo y no se está transmitiendo desde la cuenta legítima.
Lo que sucede a continuación es que, a través del chat en Facebook , se invita a la persona a participar de una dinámica en la que deben descifrar un acertijo visual. Una vez resuelto el acertijo, las víctimas deberán publicar en los comentarios la respuesta para ser “elegibles” y así recibir un supuesto premio .
Una vez que el usuario envía la respuesta, automáticamente desde la cuenta apócrifa se comunican por mensaje privado, indicando los pasos a seguir para reclamar el premio prometido. El problema es que para recibirlo la víctima primero deberá compartir la publicación en su página principal, y luego deberá informar a amigos y familiares de esta “oportunidad”.
Una vez la víctima realiza el paso anterior recibe un mensaje con un enlace que dice “Registrarse” que lleva a un sitio en el cual debe ingresar sus datos personales , para supuestamente verificar que es una persona real y así obtener el premio.
De acuerdo con las campañas identificadas por ESET en las últimas semanas, dirigidas a usuarios de América Latina , los enlaces cumplen un patrón determinado: se trata de dominios .blogspot.com. Los mismos contienen nombres completos e imágenes de las figuras cuya identidad es suplantada en las cuentas de Facebook, e incluyen otro enlace debajo que lleva a la instancia en la que deben registrar los datos.
En estos sitios se hace referencia a la cantidad de dinero a entregar y utilizan un temporizador que le da a la víctima dos minutos. Esto último, mencionan desde ESET, es una estrategia de ingeniería social para presionar al usuario para que se decida a dar el paso e ingrese información sensible.
El segundo enlace dentro del sitio redirecciona a sitios web de publicidad , para finalizar en un sitio que le solicita a la víctima un correo electrónico y contraseña para realizar una suscripción a un servicio de películas online . Además, este sistema le solicita a la víctima información sensible sobre medios de pago, como números y códigos de una tarjeta de crédito, para una supuesta verificación de identidad.
En caso de avanzar, la víctima será redirigida nuevamente a sitios plagados de anuncios, ya sin hacer referencia alguna al premio ofrecido.
Un engaño muy activo
ESET menciona que a simple vista pareciera ser un ataque sencillo ejecutado por un único estafador detrás de una cuenta falsa en la que se suplanta la identidad de una personalidad al azar. Sin embargo, la compañía descubrió que no se trataba de un ataque aislado. Por el contrario, decenas de publicaciones similares figuraban activas con otro aspecto en común: la preferencia por región latinoamericana.
Estas transmisiones son subidas a Facebook por múltiples cuentas, cuya velocidad para responder mensajes indican que las mismas son automatizadas. Además, las identidades que suplantan son variadas, desde personalidades del mundo del fútbol hasta cantantes mundialmente reconocidos que, vale la pena mencionar, también son víctimas colaterales de este ataque, ya que sus imágenes son utilizadas como método de ingeniería social para ganarse la confianza de las víctimas.
También explicaron que en algunos casos el engaño solicita los datos de la cuenta bancaria para hacer el envío del dinero, y en otros casos solicitan accesos a herramientas como PayPal .
“Esta no es la primera vez que las redes sociales se utilizan con fines delictivos, con lo cual aconsejamos estar alerta y, ante publicaciones u ofertas sospechosas que parecen demasiado buenas para ser reales, no ingresar a enlaces ni descargar archivos que ofrezcan e informarlo ante el canal de denuncias de la red social correspondiente. Además, como siempre, aconsejamos contar con una tecnología de seguridad instalada y actualizada en los dispositivos”, dijo Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.