También puedes abrir el chat de WhatsApp haciendo clic aquí.
En los últimos días, ha estado circulando una encuesta falsa que simula ser del supermercado Jumbo. Gracias a un usuario que nos alertó en nuestro WhatsApp de denuncias de estafas y engaños, pudimos analizar los pasos y las formas en que se lleva a cabo esta difusión, que resulta bastante convincente por su presentación. Es importante aclarar que la empresa, Jumbo, perteneciente al grupo chileno Cencosud, es también víctima de estas difusiones falsas.
En este caso, detectamos que el engaño no tiene entre sus etapas ninguna en la que pida datos personales, por lo que no se configura un intento de phishing. De todas formas, es un buen ejemplo de cómo una pieza gráfica puede distribuirse para engañar a usuarios e inducirlos a entregar la información personal o a realizar otras acciones deliberadas y perjudiciales.
En los engaños de phishing, en la distribución de malware con enlaces maliciosos o en variadas formas de estafas, el denominador común es llamar la atención del usuario con cierto sentido de urgencia que intenta hacer que sienta debe actuar rápido para no perderse una oportunidad. Anuncian premios, oportunidades de trabajo que parecen un regalo, pero también infunden inquietudes de deudas, causas judiciales que hay que atender de inmediato, etc. Las excusas son variadas y van mutando hacia mensajes cada vez más convincentes gracias a la inteligencia artificial que los hacen mejor estructurados
En este caso en particular, todas las etapas finalizan en el pedido de compartir a todos los contactos la supuesta encuesta. Este tipo de difusiones ponen en relieve la importancia de chequear la procedencia de los mensajes recibidos “de la nada”, y de nunca hacer clic en enlaces que se reciban de forma sospechosa. En casos anteriores que suplantaron a la misma entidad, hemos observado que los enlaces llevaban a la descarga de una aplicación maliciosa que robaba datos personales, o en otros casos, instalaban extensiones maliciosas.
El paso a paso de esta difusión maliciosa
En este caso lo que parece ser el anuncio de un premio, pasa a ser una breve encuesta, luego un sorteo de un Iphone 15 y finalmente, para hacerse acreedor de ese premio, invita a compartir la encuesta con todos los contactos.
El primer contacto con la vícima es a través de un mensaje no solicitado en WhatsApp que anuncia un sorteo de premios especiales por Halloween, o algo similar: “Regalos de carnaval de Halloween”, para ser precisos.
Una vez que se le da click a la url que anuncia el premio falso, el botón para "reclamar premio" abrirá una breve encuesta, muy convincente en su diseño gráfico y bien estructurada, como paso previo para obtener el regalo: un Iphone15.
Una vez que el usuario termina la encuesta de 4 preguntas, llega el momento de participar de un sorteo por el regalo que supuestamente ya se había ganado. Para darle mayor sensacion de veracidad al sorteo, simulan el comentario de una persona que dice haber recibido su Iphone15 en tiempo record; "recibi el regalo en el mismo día", indica una falsa usuaria.
En la última etapa, cuando la web simula que finalmente el usuario salió beneficiado en el sorteo, y como paso final, el engaño pide compartir la encuesta a la mayor cantidad de contactos. Si bien el mensaje indica que hay que ingresar la dirección, finalmente al darle ok a la pantalla lleva a la opción de compartir con los contacos, sin más.
Ahora sí, para finalizar, una vez que se compartió con el número suficiente de personas, el proceso falso de reclamo del premio pide compartir con una mayor cantidad de contactos a través de WhatsApp, con la excusa de que así se aceleraría un supuesto proceso de revisión.
Consejos de seguridad
Si recibes un mensaje, sea por aplicaciones de mensajería instantánea, como WhatsApp o Telegram, o en tu correo electrónico u otros, debes considerar algunos detalles antes de realizar cualquier acción:
- Verificar la fuente del mensaje, y prestar especial atención si te invita a hacer clic en un enlace.
- Desconfiar de mensajes que te transmitan un sentido de urgencia, o te ofrecen oportunidades fuera de lo común -demasiado buenas para ser verdad-.
- Ponerte en contacto con la entidad por sus canales oficiales, para corroborar la veracidad del mensaje, y reportar intentos de phishing.
- Nunca des datos personales, ni mucho menos financieros, en comunicaciones que no hayas iniciado, por más que parezcan ser de una fuente confiable.