Está circulando a través de WhatsApp un engaño que pretende convencer a los usuarios de que la compañía Ferrero Rocher está regalando cajas de chocolate. El objetivo de los operadores detrás de esta campaña maliciosa es dirigir a los usuarios a páginas no deseadas y robar información personal. Se trata de una vieja campaña que vimos por última vez en 2017, cuando publicamos una alerta advirtiendo acerca de un engaño de similares características y en el que también se suplantaba la identidad de Ferrero Rocher.
En este caso, tal como se observa en la Imagen 1, el engaño comienza con un mensaje que llega a través de WhatsApp en el que se busca tentar a los usuarios, lo que provoca que muchas personas hagan clic en el enlace sin detenerse un momento a pensar si se trata de algo legítimo o no.
Lo primero que debería llamar la atención de quienes reciben este mensaje es que no se trata de una dirección web que pertenezca a la marca. Si bien utiliza su nombre como parte del subdominio, la parte de la URL que dice “ferrero-rocher” es solo una página creada en el dominio regalo.XXX. El objetivo claramente es hacer más creíble el mensaje a partir del juego de palabras.
Otro detalle que debería llamar la atención de quienes reciban este mensaje es la falta de información y detalles de la promoción. El mensaje, tal como se observa en la Imagen 1, apunta a provocar el sentimiento de querer ganar el beneficio en lugar de pensar en la seguridad y apenas incluye una palabra que invita a pasar a la acción y hacer clic en la dirección.
Análisis del engaño
A los efectos de analizar el engaño, accedimos al enlace que nos llevó a la siguiente pantalla:
En situaciones como esta el usuario debería prestar mucha atención a la dirección a la que fue redireccionado. En este caso, si bien se utiliza el nombre de la marca de chocolates en la URL, como dijimos anteriormente, no es la página oficial de Ferrero Rocher. Los operadores detrás de este tipo de engaños suelen utilizar dominios largos buscando que se oculte gran parte de la URL en el ancho del dispositivo móvil. Esto se puede apreciar si observamos la barra del navegador en la Imagen 2.
Por otro lado, si bien cuenta con un certificado SSL (el candado verde a la izquierda de la dirección), si el usuario hace clic sobre el mismo y verifica la titularidad de la página, corroborará que no se trata de un sitio oficial.
En caso de que una potencial víctima decida continuar para obtener las supuestas tres cajas de chocolates de forma gratuita, deberá contestar una simple encuesta de tres preguntas.
Luego de la encuesta, un supuesto proceso de verificación de las respuestas se muestra al usuario.
Al igual que terminan muchos de los varios engaños que han analizado y que circulan a través de WhatsApp, se involucra a la víctima en la distribución de la campaña. En este caso obligándola a compartir el mensaje con al menos 20 contactos de su agenda para poder avanzar y obtener las supuestas cajas de chocolate.
Esta estrategia, tan frecuente en este tipo de engaño, no solo garantiza una gran circulación de la campaña, sino una mayor efectividad de la misma al lograr que los mensajes lleguen desde usuarios conocidos, razón por la cual las medidas de seguridad suelen bajar.
Una vez completado el ciclo de distribución, el sistema automáticamente redireccionara al usuario a otro supuesto sorteo. Esta vez, el mensaje está en inglés.
Tal como se observa en la Imagen 6 y 7, ya no se mencionan las cajas de chocolate. El nuevo mensaje hace referencia a la posibilidad de obtener una Gift Card y, tal como se indica en el punto dos del texto, para lograr que el supuesto beneficio llegue a sus manos, la víctima deberá enviar información personal, como la dirección y datos de contacto.
Otro punto interesante de esta campaña es que no solo apunta a países de habla hispana. Tras realizar pruebas simulando el acceso desde distintas regiones descubrimos que la misma campaña existe para usuarios angloparlantes.
Una vez terminado el proceso en inglés, el resultado es el mismo: redireccionamiento hacia el sorteo de las supuestas Gift Cards y la solicitud de envío de datos personales para poder obtener el premio.
Consejos para actuar en estos casos
Tal como mencionamos en campañas similares, se recomienda al usuario realizar una búsqueda en la web para corroborar si esta promoción es real o no. Como se observa en la Imagen 9, tras realizar una búsqueda en Google el primer resultado da fuertes indicios de que estamos ante una posible estafa.
Recomendaciones para evitar ser víctima de este tipo de engaños
Algunas recomendaciones para no ser víctima de este tipo de fraudes:
- Desconfiar de los mensajes que llegan vía WhatsApp en los que se ofrecen premios y/o regalos a nombre de una marca conocida
- Analizar el texto en busca de inconsistencias, como errores ortográficos, falta de información y detalles de la duración de la oferta, etc.
- Analizar la URL a la cual se invita a acceder: verificar si se trata del sitio oficial o si intenta aparentarlo
- Realizar una búsqueda en la web para verificar si se trata de un engaño o si efectivamente la marca está ofreciendo el beneficio que indica el mensaje que nos llega
- Por más que nos lleguen a través de personas que conocemos, tomarse unos minutos antes de hacer clic en cualquier enlace sospechoso. Como vimos en este artículo, la campaña se distribuye gracias a que los propios usuarios comparten el mensaje con sus contactos.
- Instalar una solución de seguridad confiable en cada uno de los dispositivos conectados a Internet, mantener los dispositivos actualizados y evitar compartir información, enlaces o archivos sin estar seguros de su procedencia.
