México.- Kaspersky ha detectado una nueva campaña de phishing dirigida a usuarios de WhatsApp a través de un esquema fraudulento de votaciones. Este ataque atrae a las víctimas con una página de votación que supuestamente presenta a jóvenes atletas, aunque también se están explotando otros temas populares para atraer votantes. El objetivo final de los atacantes es secuestro de cuentas de WhatsApp.
Cómo funciona la estafa
La estafa comienza cuando los usuarios son dirigidos a una página web aparentemente legítima que afirma alojar un concurso de votación. Por ejemplo, la página puede mostrar fotos de atletas, cada una con un botón de “Votar” y contadores en tiempo real que muestran supuestos totales de votos y el número de usuarios que ya han participado. Estos elementos crean una falsa sensación de autenticidad, alentando a la interacción del usuario. Además, la página asegura que cualquiera puede participar tras una “autorización”, y que los ganadores recibirán premios de supuestos “patrocinadores”.
Al hacer clic en los botones “Votar” o “Autorizar”, los usuarios son redirigidos a una página fraudulenta que los insta a “autorizar rápida y fácilmente” vía WhatsApp. Se les solicita que introduzcan el número de teléfono móvil asociado a su cuenta. A continuación, los atacantes utilizan la función de WhatsApp para iniciar sesión en la interfaz web del mensajero mediante un código de un solo uso: ingresan el número de teléfono de la víctima y el sistema genera un código de 6 dígitos que el sitio de la estafa refleja. Cuando el usuario introduce ese código en la aplicación de su smartphone, la sesión web que los atacantes habían iniciado se activa, permitiéndoles espiar a la víctima, enviar mensajes y apoderarse de la cuenta.
Recomendaciones de seguridad de Kaspersky
“Observamos que los concursos en línea con votaciones son muy populares actualmente, y esto es aprovechado por los atacantes, que explotan la confianza en esta actividad aparentemente inofensiva. Al combinar la ingeniería social con interfaces falsas convincentes, los atacantes convierten la interacción de los usuarios en un arma para robar datos sensibles. La conciencia y la vigilancia son fundamentales para mantenerse protegido”, comenta Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Para protegerse de este tipo de estafas de secuestro de cuentas, los expertos de Kaspersky recomiendan:
Usa un software de seguridad: existen soluciones confiables y probadas para detectar y bloquear sitios web, enlaces maliciosos y proteger tus datos personales y de pago.
Habilitar la verificación en dos pasos: activa la función de verificación en dos pasos de WhatsApp para añadir una capa extra de seguridad, que requiere un PIN para acceder a la cuenta.
Verifica la autenticidad de los sitios web: evite ingresar información personal en páginas desconocidas, especialmente aquellas a las que se accede mediante enlaces no solicitados. Revise siempre la legitimidad de la URL.
Nunca compartas códigos de verificación: WhatsApp nunca solicitará su código de verificación. No lo compartas con nadie, ni siquiera si lo recibe de una fuente aparentemente confiable.
Comunicado
FF
