El engaño tiene como objetivo que la persona comparta su pantalla, y utiliza para esto la técnica de Ingeniería Social. A través de ella busca crear confianza o generar sentido de urgencia, explotando ya sea el miedo o la curiosidad de la víctima, para luego llevar a cabo la estafa. En este caso, se combinan tres elementos clave: una videollamada (que puede generar confianza), más el sentido de urgencia (que puede crear miedo) y el hecho de compartir pantalla (que da acceso total del dispositivo al cibercriminal).

Los 5 pasos en los que se despliega la estafa

• Llamado: El primer contacto suele ser a través de una videollamada de WhatsApp de un número desconocido. Allí, el estafador se hace pasar por un representante de un banco, empresa de servicios, un miembro del equipo de soporte técnico de WhatsApp/Meta, o hasta un familiar/amigo que se encuentra en problemas. Se valen de números de teléfonos falsificados, con el objetivo que parezcan locales u oficiales; y la pantalla del interlocutor durante la videollamada suele verse negra o muy borrosa.

• Planteo de problema urgente: Para generar el sentido de urgencia en la víctima, el estafador usa diversos señuelos, como un cargo no autorizado en la tarjeta, una sesión abierta en otro dispositivo, ganar un premio que necesita una verificación, o hasta el bloqueo inminente de una cuenta.

• Pedido de compartir pantalla: Para resolver el supuesto problema, durante la videollamada el estafador pide activar la función de compartir pantalla. Es posible que también guíen a la víctima para que se instale una app como AnyDesk o TeamViewer. La excusa que suelen utilizar es que necesitan esa herramienta para verificar el problema y dar soporte de manera remota. Una vez que la víctima comparte pantalla, el estafador fuerza el envío del código de seguridad de WhatsApp. El SMS llega y aparece en la parte superior de la pantalla, quedando visible para el estafador, que así puede tomar posesión de la cuenta.

• Acceso a códigos y datos personales: Una vez que la víctima comparte la pantalla, el estafador puede ver todo lo que sucede en tiempo real y por eso suelen solicitarle a la víctima que abra la aplicación bancaria. Existen casos avanzados en los cuales instalan malware del tipo keyloggers para poder robar más datos después.

• Robo de cuentas y dinero: Una vez obtenida la información sensible, la usan para transferir dinero, vaciar cuentas o hasta tomar control del WhatsApp y/o pedir dinero a los contactos en nombre de la víctima. El daño puede suponer la pérdida de mucho dinero, como veremos a continuación.

“Este método para robar cuentas de WhatsApp y otra información sensible no solo que es novedoso, sino que además registró actividad en diversas partes del mundo. En julio del pasado año, el Instituto Nacional de Ciberseguridad de España (INCIBE) compartió un comunicado para alertar a los ciudadanos. Más allá de las advertencias por parte de diferentes autoridades sobre la circulación de esta estafa, se registraron diversas víctimas a nivel mundial, y es por eso que es esencial la concientización, ya que mientras más al tanto se esté sobre los riesgos, mayor prevención se podrá tomar”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En Reddit, un usuario de Brasil compartió cómo su madre fue estafada, perdiendo 3.000 reales. El señuelo fue la llamada de una «amiga» aduciendo que había realizado una compra en OLX y necesitaba que alguien confirmara esa transacción. Vale aclarar en este punto que su amiga había sido hackeada previamente y el actor malicioso suplantó su identidad.

Dicho caso se derivó de una videollamada, en la que el estafador -utilizando técnicas de ingeniería social-, convenció a la víctima de compartir pantalla y abrir su homebanking. El resultado fue el vaciamiento de cuenta del banco de la víctima, además de la vulneración de sus cuentas de WhatsApp y Gmail.

En Hong Kong, la pérdida monetaria fue mayor: una víctima perdió 5,5 millones de dólares. La excusa del ciberatacante fue brindar soporte para dar de baja un servicio de telecomunicaciones, que tal como sucede en esta estafa, hizo que la persona compartiera su pantalla. Al abrir la cuenta bancaria, el estafador convenció a la víctima de que compartiera contraseñas y código de verificación, para luego robarle sus fondos.

A continuación algunas buenas prácticas, para reducir el riesgo de ser víctima de esta estafa u otra, que involucre técnicas de Ingeniería Social

• No compartir pantalla: esta estafa deja al descubierto lo peligroso que puede ser compartir pantalla, más si no hay seguridad de con quién se está hablando.
• No facilitar códigos de verificación: dado que esta medida de seguridad es personal e intransferible, lo correcto es no compartirlos con nadie. Y menos a través de una llamada o mensaje.
• No brindar información personal o sensible: por más excusas o argumentos que brinde el interlocutor, no se debe dar información personal o confidencial a través de una llamada. Es importante recordar que las empresas u organismos gubernamentales no piden este tipo de detalles por esas vías de contacto.
• Chequear la información: en caso de recibir un llamado en el que se aduce que un familiar o conocido está en problemas, verificar esta información con la persona en cuestión. Si el contacto es por parte de una empresa u organización, chequearlo a través de sus canales oficiales.
• Habilitar el doble factor de autenticación: esta medida de seguridad adicional es clave, ya que en caso de que un cibercriminal haya obtenido nuestras credenciales, necesitará este segundo factor para acceder, lo cual dificultará concretamente su intento de vulnerar la cuenta.

“Esta estafa es una muestra clara de cómo la ingeniería social es una de las amenazas más peligrosas dentro del mundo de la ciberseguridad. No depende de fallos técnicos, sino que basta con generar una acción impulsiva en la víctima para que el engaño funcione. Por ello, además de invertir en soluciones de protección, es clave estar informado, saber reconocer señales de alerta, desconfiar de solicitudes inusuales y adoptar hábitos seguros” , agrega Gutiérrez Amaya de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imágenes referenciales suministradas por ESET y Comstat

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

El engaño comenzaba con un primer contacto mediante una página de Facebook, actualmente dada de baja, que utilizaba imágenes haciendo referencia al banco y prometía descuentos en varios servicios para adultos mayores. Para reclamarlos, supuestamente, la víctima debería comunicarse con un número telefónico mediante una llamada de WhatsApp.

Esta campaña fraudulenta, explica el equipo de ESET, se apoyó fuertemente en técnicas de ingeniería social, que consisten en manipular psicológicamente a las víctimas para que realicen acciones que comprometan su seguridad. En este caso, el atacante buscó convencer a la víctima de su legitimidad como empleado bancario e incitó, tentó, al usuario con un supuesto descuento en servicios, si descargaba una aplicación.

Una vez terminada la llamada, el atacante le enviaba a la víctima el enlace para la descarga de la primera aplicación, mediante la tienda oficial de Android. Luego de enviar el enlace para la instalación de la aplicación y el código de confirmación, la víctima se conecta remotamente con el atacante, quien con esto puede ver la pantalla, interactuar con las aplicaciones, transferir archivos y realizar acciones en nombre de esa persona.

Esta aplicación, llamada Supremo, la cual es legítima, permite la administración y control de dispositivos móviles de forma remota. Estas funcionalidades generalmente están relacionadas con dar soporte o gestionar un equipo propio a distancia, pero también pueden ser utilizadas con fines maliciosos por cibercriminales para realizar acciones en los equipos de sus víctimas.

Numerosos usuarios en Argentina reportan haber sido estafados con variadas excusas

“Si bien inducir a las víctimas a instalar una aplicación de control remoto no es una técnica nueva, sí es importante destacar que resulta novedoso en el contexto de las estafas bancarias y suplantaciones de identidad; y que posiblemente responda a las campañas de concientización que están haciendo sobre no compartir información sensible: Si el atacante no puede hacer que sus víctimas les entreguen las credenciales, la ´innovación´ es controlar el dispositivo donde tiene la aplicación del banco”, comenta Martina Lopez, Investigadora de ESET Latinoamérica.

En la página de la aplicación en Google Play se pueden leer numerosos mensajes y notas de usuarios en Argentina que reportan haber sido estafados con variadas excusas, desde al menos mayo de 2024. Entre las empresas cuya identidad ha sido suplantada por campañas que instan a sus víctimas a instalar Supremo, ESET identificó a Netflix, Starlink, Mercado Libre, y YPF. Además, en algunos casos las víctimas alegan que han sufrido el robo de dinero o tomas de préstamos bancarios mediante el control de sus celulares por parte de los estafadores.

Para evitar caer en este tipo de estafas, desde ESET comparten unos consejos nada complicados que nos evitarán preocupaciones y dolores de cabeza:

• Desconfiar de cualquier anuncio o perfil de redes sociales no verificado que mencione ser de una entidad bancaria, ecommerce, gobierno, o cualquier otra entidad de autoridad o marca reconocida. Comunicarse exclusivamente, únicamente, por canales autorizados y verificados.
• Evitar clics o mensajes y respuestas desesperadas al ver regalos, grandes descuentos o promociones. Los atacantes utilizan estas excusas para generar en sus víctimas una gran emoción, así como cuando alertan de un problema en alguna cuenta.
• No descargar archivos o aplicaciones por orden y sugerencia de desconocidos, ni aquellas que no estén verificadas como pertenecientes a bancos o marcas en las que queramos operar.
• Contar con un software antivirus instalado y actualizado en el dispositivo móvil para evitar infecciones.
• Mantener actualizados los dispositivos y aplicaciones.
• Modificar las contraseñas afectadas y monitorear cualquier movimiento sospechoso de las cuentas, en caso de sufrir alguna intrusión o infección.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Un PDF malicioso puede instalar o descargar malware, robar información privada o sensible, e incluso explotar vulnerabilidades del sistema o de los lectores para PDF. Según ESET, generalmente, se distribuyen como adjuntos en correos de phishing que apelan a la urgencia, la emoción o la preocupación para inducir a su apertura. De acuerdo con el último Threat Report de ESET, los archivos PDF se encuentran en el sexto lugar del TOP 10 de detecciones de amenazas, y son una de las tendencias en ataques mediante correos electrónicos maliciosos.

“Los atacantes se esfuerzan por evitar ser detectados por los usuarios y simulan ser PDF legítimos. Es fácil que contengan elementos maliciosos que a simple vista son imperceptibles, especialmente para usuarios ajenos a la ciberseguridad o informática.”, comenta Fabiana Ramirez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

Entre los ejemplos más comunes de las distintas formas en que pretenden camuflar o disfrazar los PDF maliciosos, se encuentran:

• Facturas de compra o de deudas, con nombres como “factura.pdf”
• Currículums laborales, principalmente en ataques dirigidos a empresas
• Resultados de estudios médicos
• Documentos vinculados a entidades financieras, bancarias o gubernamentales

Uno de los métodos más frecuentes que utilizan los atacantes es incrustar scripts -fragmentos de código- que pueden estar diseñados para descargar malware, abrir conexiones remotas o ejecutar comandos y procesos en segundo plano, entre otras acciones maliciosas. También pueden contener enlaces ocultos que se abren al interactuar con ciertas funcionalidades del archivo. Además, pueden aprovechar alguna vulnerabilidad o falla de lectores populares, como Adobe Reader, Foxit, entre otros.

Una campaña de phishing documentada por ESET utilizó archivos PDF para distribuir el troyano bancario Grandoreiro. El ataque comenzaba con un enlace malicioso que derivaba en la descarga del PDF infectado.

En un primer momento, la apariencia del documento no genera desconfianza y se presenta simulando ser un archivo PDF real.

Señales que alertan

Existen ciertas señales que podrían indicar que se ha recibido un PDF malicioso. Para identificarlo, desde ESET recomiendan tener en cuenta algunas de las siguientes características:

• Viene comprimido en un ZIP o RAR: Para evitar que los sistemas o antivirus los detecten, suelen ser comprimidos para evadir filtros de correos electrónicos e incluso ocultar otras extensiones sospechosas.
• Tienen nombres engañosos o genéricos, como documento.pdf.exe o factura.pdf: Al estar las campañas usualmente dirigidas a muchos usuarios, se tiende a colocar nombres genéricos o aprovechar la extensión .pdf para confundir y enviar un .exe, que incluso puede estar oculto.
• El remitente no coincide con lo que dice el archivo: Por ejemplo, si un mail dice ser de una entidad o persona conocida, pero el remitente no es identificable. Un dominio extraño es una clara señal de alerta.
• No tiene sentido recibirlo: Pregúntate si esperabas ese archivo, si conoces al remitente o si tiene lógica que te lo envíe.

Ante la sospecha de haber recibido un PDF malicioso, ESET comparte algunas recomendaciones para analizar el archivo y determinar su naturaleza:

• Analizarlo en VirusTotal: En este sitio se puede cargar el documento sospechoso y analizarlo con múltiples antivirus.
• Activar la vista de extensiones en el explorador de archivos del sistema operativo, para ver la extensión real de los archivos y detectar intentos de engaño.
• Chequear el tamaño y nombre del archivo antes de abrirlo.
• Evitar abrir archivos comprimidos sospechosos.
• Usar siempre visores de PDF actualizados a las últimas versiones, para evitar explotación de vulnerabilidades conocidas.
• Usar siempre soluciones de seguridad, como antivirus y antimalware, para poder detectar amenazas.

¿Qué se debe hacer si ya fue abierto el PDF?

En el caso de haber abierto un PDF malicioso, existen varias medidas que se pueden tomar:

• Desconectarse de internet: Esto podría evitar que se complete la cadena de infección y que ingrese un malware, o evitar que el dispositivo infectado se conecte con el servidor de los criminales (C2). También evita que se exfiltre información o se descarguen herramientas adicionales, así como que la infección se propague a otros dispositivos conectados a la misma red.
• Escanear el equipo con antimalware: Si el PDF contenía o descargó malware, el escaneo podría detectarlo.
• Revisar los procesos activos del sistema: Esto permitirá identificar la presencia de procesos sospechosos o que no deberían estar abiertos. También permite ver si hay un consumo anormal de CPU, red o memoria.
• Cambiar las contraseñas: Dada la posibilidad de infección, es recomendable cambiar las contraseñas de mail, redes, cuentas financieras, etc., para evitar que los criminales puedan utilizar aquellas que logren filtrar.
• Contactar con profesionales: Ante la duda, y si no se tiene suficiente conocimiento, siempre es recomendable acudir a especialistas que puedan identificar intrusiones.

“Los archivos PDF son parte de nuestra vida cotidiana, pero también pueden ser utilizados como herramientas de engaño por los cibercriminales. Mantener buenas prácticas de seguridad, verificar el origen de los archivos y estar atentos a señales de alerta es clave para protegerse”, concluye Ramirez Cuenca, de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Este tipo de ataque necesita de dos clics para ser efectivo. Los actores maliciosos insertan un elemento dañino o malicioso entre el primer y segundo clic para así desencadenar acciones no deseadas por parte de la víctima. Cuando el usuario a ser estafado o dañado -la víctima- realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo clic. Esto mediante la técnica llamada “iframe invisible”, en que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo, ni darse cuenta del cambio.

“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en “Ver resultado” del mismo, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de “iframe invisible”. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de “Confirmar” en una página de inicio de sesión de una red social, entonces al hacer clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta.”, comenta e informe Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En el presente artículo se analiza y advierte sobre la nueva forma de atacar, cuyo objetivo es robar datos; puede llevarse a cabo incluso al utilizar páginas legítimas

Este tipo de ataques puede realizarse perfectamente en sitios legítimos, sin la necesidad de llevar a la víctima a un sitio web falso. Así, el atacante logra evitar las defensas que existen actualmente contra el clickjacking, y sus acciones con fines maliciosos ocurren en páginas legítimas, pero que no están protegidas debidamente.

Diferencias entre doubleclickjacking y clickjacking

El clickjacking es una técnica en la que el ciberatacante superpone una página web legítima con elementos invisibles, pueden ser botones y/o enlaces, para engañar al usuario y que haga clic en algo sin darse cuenta. Este ataque busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otro asunto o cosa escondida debajo. Mediante el clickjacking, por ejemplo, un usuario cree que está dando un “Me gusta” a una foto, pero podría estar realizando una transferencia de dinero.  Al tratarse de una técnica más “sencilla”, las medidas de seguridad actuales suelen detectar y prevenir eficazmente los intentos de clickjacking.

Por su parte, el doubleclickjacking se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Y debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan en contra ataques de un solo clic.

Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas, obtener permisos API, y en casos más extremos, obtener autorizaciones de pago y/o transferencias, o comprar cosas a nombre del usuario sin que lo sepa.

Por un lado, el actor malicioso puede engañar para que se apruebe un inicio de sesión en alguna red social y correo electrónico. Esto puede derivar en que se pierda acceso a esa cuenta, ya que pueden cambiar la contraseña, o que la utilicen para enviar mensajes a los contactos para obtener dinero o distribuir malware.

En el caso de que el ataque apunte a plataformas de pago, pueden autorizar compras en línea sin el consentimiento del titular como también transferencias bancarias.

Adicionalmente, el ciberatacante también podría instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.

Medidas preventivas recomendadas desde ESET

• Mantener actualizados tanto los equipos como los navegadores. El doubleclickjacking es una técnica relativamente nueva que se aprovecha de vulnerabilidades en los sitios, por lo cual es posible que futuras actualizaciones corrijan estos fallos, evitando así que puedan ser explotados por los cibercriminales.
• Estar alerta ante cualquier acción extraña que pueda suceder en un sitio web: botones que soliciten doble clic, captchas o ventanas emergentes. Y en consecuencia, prestar mucha atención a los mensajes de confirmación, y evitar dar clics inmediatos en las ventanas emergentes que se acaban de abrir.

“En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Coordenadas de contacto con ESET en Venezuela, empresa especialista en seguridad digital e informática, fuente de la presente información y recomendaciones: https://www.eset.com/ve/.

También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Puro Vinotinto

Con información e imagen referencial suministrada por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

“Alertamos sobre diversos ejemplos que circulan por WhatsApp para poder identificarlas, comprender las estrategias que utilizan los actores maliciosos en este tipo de estafas, y evitar así convertirse en una nueva víctima”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Dentro de las entidades a quienes más se le utiliza su nombre o imagen para realizar engaños, debido a su gran popularidad o prestigio, se encuentran tiendas en línea, compañías reclutadoras de empleo, aplicaciones y redes sociales. A continuación ESET menciona y resume algunos ejemplos principales o relevantes:

Argucia con tiendas en línea

• Amazon: Se identificó un ejemplo de cómo una supuesta recepcionista de la mundialmente conocida empresa Amazon contacta a una persona, sin saber siquiera su nombre, para que comience a trabajar mediante un formato de comisiones.
• Mercado Libre: El nombre de esta compañía es muy utilizado para generar interés en sus posibles víctimas, con salarios altos y bajos esfuerzos. En los casos identificados, la supuesta reclutadora busca generar confianza acreditando su vínculo con la marca mediante un supuesto código de empleada y una foto de la credencial. Un aspecto muy común en este tipo de estafas es que los requisitos de contratación para el supuesto trabajo son realmente mínimos. Otro ejemplo que también se vale de Mercado Libre para generar interés, es el supuesto Gerente de Atención al Cliente que detalla las tareas que la víctima debería desempeñar.
• Temu: Se identificaron engaños con distintas características. En este caso el supuesto reclutador pide un ingreso inicial de un dinero por parte de la víctima y, por otro lado, el mensaje recibido, supuestamente de un “reclutador” contiene un enlace a una plataforma para comenzar a trabajar. En ambos casos, desde ESET observan cómo Temu vuelve a ser la excusa elegida aprovechándose de su popularidad creciente.
• Shein: La plataforma de ventas por internet presente en 150 países del mundo también es utilizada para realizar engaños con una fórmula conocida, el trabajo de medio tiempo y altos ingresos. Como es habitual en estos engaños, el sistema de supuestas recompensas por comisiones vuelve a hacerse presente. Esta vez, bajo la promesa de trabajar para Shein.
• Berksha: Esta cadena de indumentaria y moda, cuyas oficinas centrales se encuentra en España, también es utilizada como señuelo. En el ejemplo identificado, llamó la atención del equipo de ESET, por ejemplo, que los mensajes figuren como Reenviado.

Argucia con aplicaciones y redes sociales

• Facebook: En este caso el nombre de la compañía es utilizado para llamar la atención de posibles víctimas. La recompensa salarial es muy sustanciosa, mientras que los requisitos para desempeñar la tarea son nulos.
• Tik Tok: Este ejemplo se vale de la reconocida red social y de presuntas ganancias importantes, para llamar la atención de sus víctimas. El supuesto trabajo implica la simple tarea de seguir a algunas marcas en específico.
• YouTube: En este caso también se utiliza una marca de renombre para ofrecer ofertas de trabajo tentadoras, con buena paga y que en teoría solo requieren de un clic.
• Google Maps: El engaño busca generar interés con un supuesto trabajo de medio tiempo en Google Maps, prometiendo dinero fácil desde un dispositivo móvil, dedicando pocos minutos al día.

Argucia con reclutadoras de empleo

• SnagaJob: Se identificaron dos ejemplos donde el estafador se hace pasar por la reconocida reclutadora de empleo, con la promesa de un trabajo simple que representará ganancias sustanciales, o como señuelo para difundir una supuesta propuesta de trabajar para aumentar las visualizaciones de perfiles en redes sociales de “celebridades”.
• ZipRecruiter: Aquí vemos como la empresa de empleo en línea líder en el mercado también es utilizada para intentos de estafa, la cual promete un empleo de medio tiempo y altas ganancias.

“Conocer estos ejemplos es muy útil para estar al tanto de las nuevas estrategias que llevan a cabo los delincuentes o cibercriminales a la hora de encontrar nuevas víctimas. A su vez, prestar atención a las diversas alarmas que suelen ser identificables en este tipo de mensajes con supuestas ofertas laborales también es muy importante. Más teniendo en cuenta que habitualmente las grandes marcas y organizaciones no suelen contactarse por WhatsApp para acercar sus propuestas laborales. Y como siempre, la regla de oro que aplica ante este tipo de mensajes: si es demasiado bueno para ser verdad, probablemente no lo sea”, concluye Camilo Gutiérrez Amaya de ESET Latinoamérica.

Coordenadas de contacto con ESET en Venezuela: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland  

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

“Marketplace se convirtió en una de las plataformas preferidas para las compras y ventas online. Y, como sucede en tantos otros casos, cuando hay algo que llama la atención y es usado masivamente también atrae a los ciberdelincuentes. Es por esta razón que cada vez son más las estafas y engaños que circulan en esta plataforma”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las estafas más comunes

– Artículos defectuosos: puede suceder que un vendedor publique un producto con fotos que lo presentan en perfectas condiciones, pero que una vez entregado en realidad esté roto. Esto es particularmente complicado cuando se compran artículos electrónicos, porque por lo general no se pueden evaluar todas sus funciones antes de la compra. Lamentablemente, existen posibilidades de que esto suceda, ya sea por parte a un vendedor sin escrúpulos como por un estafador profesional.

– Artículos falsos: hay casos en los que el producto puede que sea una falsificación. La ropa de diseñador, los perfumes, las joyas y los cosméticos son blancos comunes de falsificación. Todos están buscando una buena oferta, pero cuando parecen demasiado buenas para ser verdad, por lo general se trata de un engaño.

– Estafas de Google Voice: Marketplace también es aprovechado para realizar fraudes en otras plataformas. Un engaño muy común es intentar robar cuentas de Google Voice o crearlas con el número de teléfono de la víctima. Los estafadores se contactan con un vendedor por el supuesto interés en un artículo para intentar llevar la conversación a una plataforma no monitoreada, como puede ser WhatsApp. Allí le solicitan que comparta un código que le enviarán a su teléfono para verificar que es una persona legítima. Ese código es el de la verificación en dos pasos (2FA) de Google Voice, que una vez en poder de los estafadores pueden crear una cuenta asociada a ese número de teléfono.

– Sobrepago: el estafador se hace pasar por un comprador y reclama a un vendedor que pagó demás por un artículo que compró. Enviará una captura de pantalla donde muestra la supuesta transacción por la compra y solicitará que reintegren la diferencia. Obviamente, en ningún momento se realizó un pago y si el vendedor cayó en la trampa habrá perdido el dinero sin posibilidad de reembolso.

– Compra que nunca llega: otro engaño consiste en vender un artículo, cobrar el dinero pero no entregarlo al comprador. Esto solo se aplica a los artículos enviados desde fuera del área local del comprador.

– Phishing y falsos sorteos: una forma de obtener información de las víctimas es enviar correos de phishing con supuestas ofertas y sorteos en la plataforma. La víctima, desprevenida, hará clic en el enlace y completará un formulario con información personal creyendo que así estará participando por artículos de lujo  u otras ofertas especiales. Por supuesto, los estafadores solo quieren información personal para cometer fraude de suplantación o robo de identidad.

– Estafa de los seguros: quienes venden artículos muy costosos en Facebook Marketplace pueden ser contactados por estafadores que se hacen pasar por compradores dispuestos a pagar el costo por el envío del artículo, y hasta envían una factura falsa como prueba. Solo hay un problema: piden que el vendedor pague un pequeño cargo por un supuesto seguro, que generalmente es un monto pequeño en comparación con el precio del artículo, lo que persuade al vendedor de aceptarlo.

– Ofertas engañosas: los estafadores anuncian un producto de alta calidad a un precio tentador, pero en el momento que una persona cree haber sido beneficiada le avisan que el producto ya no está disponible, aunque nunca lo haya estado, y le ofrecerán al comprador un artículo similar por un precio mucho más elevado o una alternativa inferior.

Cómo detectar dichas estafas

Al igual que en otras modalidades de engaños en línea, la clave es mantenerse escépticos y en alerta. Para ello, ESET comparte 10 consejos muy útiles a la hora de navegar y/o comprar por Facebook Marketplace

– Inspeccionar los artículos antes, y comprar solo a vendedores locales.

– Establecer como punto de encuentro un lugar público, bien iluminado y en lo posible durante el día.

– Revisar los perfiles de compradores/vendedores para conocer las calificaciones y mantenerse alerta si los perfiles se han creado recientemente.

– Verificar el precio de mercado de los artículos y, si hay una diferencia significativa entre este y el precio de venta, estarse atento al hecho de que puede ser falsificado, robado, defectuoso, etc.

– Tener cuidado con las ofertas y obsequios, y nunca ingresar datos personales para acceder a ellos.

– Solo usar métodos de pago confiables a través de Facebook Messenger (PayPal, Facebook Checkout), ya que ofrecen una forma de disputar un pago. Los estafadores suelen solicitar tarjetas de regalo (gift cards) así como transferencias bancarias y pagos a través de diferentes servicios.

– Mantener la conversación en Facebook: a los estafadores les gusta mudar la charla a otra plataforma donde resulta más fácil estafar a las personas, porque allí no habrá nada que respalde a la víctima.

– En caso de ser vendedor, nunca enviar artículos antes de que se haya realizado el pago.

– Cuidado con los cambios en el precio de cotización.

– No enviar códigos de verificación (2FA) a posibles compradores.

– Si sucede lo peor y hay sospechas de que se es víctima de un fraude, se debe denunciar al vendedor y reportarlo de inmediato en Facebook Marketplace.

Estar prevenidos y adoptar buenas prácticas

“Por todo lo mencionado anteriormente es necesario adoptar buenas prácticas de seguridad, prestar atención a los indicios de que una oferta puede tratarse de una estafa, e informarse sobre las metodologías que utilizan los cibercriminales para perpetrar sus ataques. Así, es posible que los usuarios eviten comprarse un problema”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

De interés: Ciberseguridad; tener múltiples respaldos de sus datos debe ser prioridad para las empresas

Puro Vinotinto

Con información e imagen suministrada por ESET Latinoamérica y Comstat Rowland Comunicaciones Estratégicas Integrales

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos