La aplicación de mensajería instantánea es un blanco común para los ciberataques. En los últimos dos años aumentaron los engaños a través del robo de contactos por mail.
Durante los últimos dos años, las estafas online que utilizan la suplantación de identidad aumentaron de manera desmedida. Ahora, la compañía de detección de amenazas ESET detectó un nuevo ataque que utiliza la venta de dólares como anzuelo vía la aplicación de mensajería instantánea WhatsApp.
El engaño comienza al recibir un mensaje vía WhatsApp desde un número desconocido en el que se hacen pasar por una persona cercana. Si bien el número de teléfono es diferente, el perfil era una copia del perfil legítimo, incluyendo fotografía y nombre de cuenta. A veces, incluso, pueden llegar a dirigirse por un apodo para dar más veracidad a la comunicación. Luego de mantener una conversación mínima, llega un mensaje fuera de lo común, tanto por los mensajes que se intercambian así como por la relación que se puede tener con la persona cuya identidad fue suplantada: Se pregunta por personas interesadas en comprar dólares.
Whatsapp.
Inmediatamente después de recibir un mensaje sospechoso, el usuario debe comunicarse con el contacto original por teléfono. En el caso analizado, gracias al mensaje de advertencia, la persona real descubrió que la mayoría de sus contactos de WhatsApp habían recibido mensajes similares desde el mismo número.
Esta metodología ya fue alertada anteriormente al menos en Argentina. A mediados de noviembre de 2021 creció la cantidad de casos reportados utilizando este modus operandi y, al día de hoy, continúa siendo utilizado por cibercriminales. En los casos observados por ESET a usuarios de Argentina, luego de suplantar la identidad de la víctima, el cibercriminal convence a los contactos que tiene en su poder dólares para vender y que necesita que la persona le transfiera el dinero (que suele ser menor a la cotización oficial) para concretar el acuerdo. Con el dinero ya transferido, el cibercriminal le promete a la persona que los dólares van a ser entregados, para luego bloquear el usuario y quedarse con el dinero.
De hecho, el titular de la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina (UFECI). Horacio Azzolín, advirtió a mediados del año pasado sobre esta metodología en acenso en un extenso hilo de Twitter. Si bien la forma de conseguir los contactos de la víctima puede variar, ya que utilizan distintas formas de acceso inicial (robo de teléfonos, etc), una de las formas es el robo de cuentas de correo y de los contactos sincronizados a estas cuentas. Por ejemplo, de Outlook.
El equipo de investigación de ESET, realizó el análisis de posibles orígenes del ataque: ¿De dónde habían robado su fotografía y nombre completo? ¿Cómo poseían todos sus contactos? ¿Por qué habían elegido una aplicación como WhatsApp? ¿Qué objetivo tenía este ataque en particular? “En primer lugar, notamos que la cuenta usada para llevar a cabo el engaño posiblemente haya sido robada, ya que se trataba de una cuenta de WhatsApp Business que pertenecía a una compañía del rubro automotor. Además, tras revisar sus redes sociales y perfiles en distintas aplicaciones, nos dimos cuenta de que el usuario usaba la misma fotografía y nombre de perfil en otros servicios públicos. Esto podría significar que su cuenta de WhatsApp no fue comprometida y que los estafadores suplantaron su identidad utilizando otra cuenta robada de la red social de mensajería más popular en Argentina.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Según la compañía, probablemente el estafador obtuvo una copia de seguridad de los contactos de alguna manera. Sabiendo que el phishing es la modalidad de ataque más utilizada por los cibercriminales para robar cuentas de correo electrónico, el equipo de ESET realizó junto al usuario una búsqueda dentro de los correos para encontrar alguno sospechoso en donde haya ingresado. El resultado fue que hace algunos meses el usuario había sido víctima de un correo de phishing en el que se suplantaba la identidad de Microsoft y en el cual le solicitaban las credenciales utilizando como excusa una supuesta actividad inusual en la cuenta de la víctima. Un clásico engaño de ingeniería social.
Los cibercriminales obtienen el acceso inicial mediante un ataque de phishing y, si la cuenta víctima tiene una copia de seguridad de sus contactos guardada, se comunican con ellos haciéndose pasar la víctima mediante un teléfono nuevo que no está asociado previamente a la víctima. “Uno de los aspectos clave para esta estafa, y que muchos usuarios desconocen, es la facilidad para obtener los contactos sincronizados habiendo ingresado a una cuenta de correo electrónico. En el caso de una cuenta de Google, por ejemplo, basta con buscar el submenú “Contactos” dentro de Gmail. Dentro de este se puede, no solo visualizar todos los contactos sincronizados con sus números y nombres asignados, sino también exportarlos en un formato ideal para este tipo de ataques.”, agrega López.