El primer contacto con la víctima se realiza al enviar un enlace que redirige al sitio web donde se realizaría la entrega del supuesto regalo. Este mensaje, además, proviene de un contacto conocido de quien lo recibe, haciendo que el engaño tome más credibilidad.
Sin ingresar siquiera al sitio del mensaje, se pueden observar indicadores de phishing: el enlace no pertenece a un dominio real de la compañía, sino que se trata de un sitio ajeno con un subdominio llamado «Jumbo».
Dentro de la página falsa se encuentran varias imágenes y logos de la marca, además del ofrecimiento de una tarjeta de regalo por un alto valor monetario. En tanto, para obtener el premio, se solicita al usuario completar un cuestionario de cuatro preguntas y se muestran falsos comentarios de supuestos ganadores de este premio.
Una vez que la persona completa las cuatro preguntas, que funcionan como distracción, se le solicita un paso más antes de reclamar la supuesta tarjeta de premio: compartir el mensaje con 20 contactos o cinco grupos de WhatsApp haciendo click en el botón verde. A través de esta estrategia, este tipo de campañas maliciosas llegan a una gran cantidad de personas en cuestión de horas.
Por último, se solicita instalar una supuesta actualización de una aplicación de VPN para poder continuar. Con un mensaje que simula ser un pop-up en un sitio de videos, el engaño busca generar sentido de urgencia al usuario, advirtiendo que la instalación es necesaria para “seguir viendo en modo seguro”.
Esta aplicación, disponible para dispositivos iOS, cuenta con pocas reseñas reales dentro de la App Store e incluye una política de privacidad ambigua, lo que puede derivar en que la información de la víctima sea comercializada o robada.
Martina López, Investigadora de Seguridad informática de ESET Latinoamérica, dijo: «Una vez más, recordamos la importancia de verificar la veracidad de cualquier comunicación que lleve consigo el nombre de una gran marca o compañía. Además, es importante estar atentos a si el mensaje busca generar sensación de urgencia o felicidad, o si el medio por el cual se recibió el mensaje es un medio usual para recibir ofertas, problemas o reclamos».
Por último, se aconsejan acompañar estas precauciones con la instalación de una solución de seguridad en los dispositivos móviles. “Campañas como estas o similares incluyen publicidades que invitan al usuario a realizar alguna descarga o abrir algún archivo, con lo cual resulta indispensable contar con la última barrera de protección en caso de haber caído en el engaño”, concluyó López.