Kaspersky ha detectado una nueva campaña de phishing dirigida a usuarios de WhatsApp a través de un esquema fraudulento de votaciones. Este ataque atrae a las víctimas con una página de votación que supuestamente presenta a jóvenes atletas, aunque también se están explotando otros temas populares para atraer votantes.
La estafa comienza cuando los usuarios son dirigidos a una página web aparentemente legítima que afirma alojar un concurso de votación. Por ejemplo, la página puede mostrar fotos de atletas, cada una con un botón de “Votar” y contadores en tiempo real que muestran supuestos totales de votos y el número de usuarios que ya han participado.
Estos elementos crean una falsa sensación de autenticidad, alentando a la interacción del usuario. Además, la página asegura que cualquiera puede participar en el concurso tras una “autorización”, y que los ganadores recibirán premios de supuestos “patrocinadores”.
Al hacer clic en los botones “Votar” o “Autorizar”, los usuarios son redirigidos a una página fraudulenta que los insta a “autorizar rápida y fácilmente” vía WhatsApp. Se les solicita que introduzcan el número de teléfono móvil asociado a su cuenta. A continuación, los atacantes utilizan la función de WhatsApp para iniciar sesión en la interfaz web del mensajero mediante un código de un solo uso: ingresan el número de teléfono de la víctima y el sistema genera un código de 6 dígitos que el sitio de la estafa refleja.
Cuando el usuario introduce ese código en la aplicación de su smartphone, la sesión web que los atacantes habían iniciado se activa, permitiéndoles espiar a la víctima, enviar mensajes y, finalmente, apoderarse de la cuenta.
“Observamos que los concursos en línea con votaciones son muy populares actualmente, y esto es aprovechado por los atacantes, que explotan la confianza en esta actividad aparentemente inofensiva. Al combinar la ingeniería social con interfaces falsas convincentes, los atacantes convierten la interacción de los usuarios en un arma para robar datos sensibles”, comenta Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Los expertos de Kaspersky recomiendan: Habilitar la verificación en dos pasos, verificar la autenticidad de los sitios web, no compartir códigos de verificación.
Fuente: Kaspersky
