De nuevo los cibercriminales hacen uso de la ingeniería social a través de WhatsApp para robar datos personales de los usuarios con una falsa campaña llamada “Quédate en casa”
Las víctimas reciben un mensaje en el que se ofrece un supuesto bono como forma de ayuda por el COVID-19, aunque sin hacer referencia a una entidad, empresa u organismo como responsable de esta iniciativa.
El mensaje apela a la necesidad de quienes precisan una ayuda e intenta dar la sensación de que se trata de un dominio real asociado a una campaña legítima.
La particularidad de esta campaña es la forma en la cual busca hacerse de los datos personales de sus víctimas, ya que desde el primer momento que se accede a la página a través del link del mensaje, se solicita al usuario el ingreso de sus datos. Además, el mensaje advierte que, si durante las primeras 24 horas no recibe información al respecto, ingrese los datos nuevamente.
Una vez que la víctima ingresa sus datos personales, la campaña continúa con una simple encuesta. Finalizado este proceso, el engaño realiza una supuesta verificación de las respuestas.
Luego, como es costumbre en este tipo de engaños, como parte de la estrategia de distribución de este, se solicita al usuario compartir el mensaje con un mínimo de 10 grupos o contactos de WhatsApp.
Si bien las cookies son utilizadas para mejorar la experiencia del usuario o para acciones de marketing, en los casos más peligrosos pueden ser utilizadas para ataques más dirigidos, tanto de phishing como de vishing (ataques de ingeniería social vía llamada telefónica), en los que, por ejemplo, con la información recolectada del equipo más la que pudiera haber entregado el usuario en alguna encuesta, se le podría pedir al usuario datos de su cuenta bancaria haciendo referencia a que ahí recibirá el bono de asistencia.
La ayuda de «Quédate en casa» es otro engaño a los más necesitados
Una de las recomendaciones a seguir, es siempre es buscar información adicional sobre el mensaje que nos llega. Lo ideal es que los usuarios se tomen el trabajo de hacer una simple búsqueda, ya que en casos como este podrían corroborar.
Para estar protegido de estos y otras campañas de phishing, es recomendable utilizar una solución de seguridad tanto en el dispositivo móvil como en la computadora. Asimismo, tener siempre presente que se debe evitar acceder a enlaces que llegan ofreciendo oportunidades inesperadas, ya sea por una red social o por el correo electrónico, y comparar el enlace del mensaje con el del sitio oficial para corroborar que la URL es legítima.