Cuando a principios de año analizamos varias campañas de phishing y scam que utilizaban supuestos regalos tecnológicos como gancho ya sospechábamos que esta técnica iba a ser explotada hasta que dejase de ser rentable. Un par de meses después, el volumen de mensajes con regalos de alto valor a cambio de rellenar una sencilla encuesta no ha dejado de crecer.
Suplantación de grandes marcas
Tal y como ya hemos analizado en casos anteriores, este tipo de engaños se aprovecha de la buena reputación que tienen entre los usuarios algunas marcas, normalmente aquellas asociadas a los supermercados o al comercio electrónico. En las últimas muestras recibidas en nuestro laboratorio vemos como esta tendencia se repite y los remitentes de estas campañas están usando, entre otros, a Amazon o Makro para ganarse la confianza de los usuarios que reciben sus correos.
Cuando recibimos un mensaje de este tipo lo primero que solemos revisar es su cabecera para averiguar si el remitente es el que se nos muestra en el email o se trata de un caso de suplantación y el envío se realiza realmente desde otra dirección. En esta ocasión ambos remitentes son los originales pero pertenecen a dominios de correo que no se corresponden con la empresa que está supuestamente enviando esta encuesta o, directamente, han sido reconocidos como comprometido y usados por delincuentes en campañas de spam anteriores.
Un aspecto que ya no debería sorprender a nadie es que en este tipo de webs fraudulentas se utiliza un certificado válido para ofrecer una conexión segura HTTPS y obtener así, el famoso candado verde que muchos usuarios aun asocian a estar visitando una web segura. Esto es un error grave, ya que la web puede ser maliciosa (como en este caso) y tener una conexión segura, haciendo que los usuarios bajen la guardia.
Encuestas y regalos
Los que están detrás de este tipo de campañas saben que o hay nada como un buen gadget tecnológico de un valor elevado para llamar la atención de los usuarios y que estos proporcionen todo tipo de datos. Además, utilizando de forma fraudulenta la imagen de empresas reconocidas consiguen que muchos bajen la guardia y les sigan el juego. La supuesta encuesta de satisfacción que nos invitan a realizar no es otra cosa que un calentamiento para conseguir los datos que realmente les interesan. Tras una corta serie de preguntas sobre si estamos contentos con nuestras compras en ese establecimiento o cuantas veces compramos en él, pasamos a una pantalla en la que ya se muestra el deseado regalo y se solicitan datos personales como el nombre, apellidos o el correo electrónico.
Una vez proporcionados estos datos, se nos muestra una nueva pantalla con todos los supuestos regalos entre los que podemos elegir. Con respecto a casos similares ya analizados anteriormente encontramos una diferencia en la inclusión de una cuenta atrás para completar la encuesta e introducir los datos solicitados, algo que genera una sensación de urgencia y hace que algunos usuarios aparquen su prudencia.
Pero el verdadero objetivo de este tipo de campañas no es otro que conseguir los datos de las tarjetas de crédito de aquellos incautos que realmente piensen que alguien les va a regalar un dispositivo que vale cientos de euros solo por rellenar una sencilla encuesta. Eso lo podemos comprobar en esta pantalla donde se solicita alegremente que se introduzcan los datos de nuestra tarjeta de crédito.
En el caso de que alguien rellene estos campos con los datos de su tarjeta, lo más probable es que no tarde en ver como se realizan cargos a la misma sin su autorización. Para evitar estos cargos, lo más recomendable, obviamente, es no introducirlos en este tipo de webs fraudulentas y contar con algún tipo de autenticación de doble factor, ya sea por SMS o aplicación. Algunos delincuentes saben como saltarse estas medidas de autenticación (normalmente enviando mensajes que se hacen pasar por nuestro banco) por lo que conviene estar atento.
Conclusión
Ante este tipo de fraudes y estafas que se aprovechan del desconocimiento y de las ganas de muchos usuarios de poseer estos codiciados dispositivos debemos proceder con sentido común. Normalmente, este tipo de campañas son demasiado buenas para ser verdad y, de realizar alguna campaña similar, lo más seguro es que la empresa lo anunciase por otros medios y no solo por un email sospechoso.
Así pues, mantengámonos alerta, desconfiemos de este tipo de encuestas, sorteos y similares y avisemos a nuestros conocidos para evitar que ellos puedan caer víctimas de estos engaños y les suponga una considerable pérdida de dinero.