El Laboratorio de Investigación de ESET, advierte sobre una campaña de phishing (engaño en el que el estafador se hace pasar por una persona o empresa de confianza), dirigida a engañar a los usuarios de México, utilizando la imagen Mercado Libre México y el señuelo de nuevas modas.
Con una apariencia muy similar a la de la entidad afectada, el sitio apócrifo utiliza sus imágenes, colores, formatos y tipografías con la idea de hacer creer al usuario que navega en una web oficial.
En este caso, además del parecido visual, los ciberdelincuentes también utilizaron un certificado valido. De este modo, el navegador muestra el clásico candado verde indicando que el sitio sería “seguro”.
Con precios muy accesibles, el sitio falso invita a que los usuarios hagan compras aprovechando ofertas de cambio de temporada. Al hacer clic en comprar, se genera una redirección en donde se pueden visualizar distintas opciones.
Como suele suceder en este tipo de estafas, el usuario es inducido a entregar información personal, como el nombre, correo y teléfono.
Del mismo modo, para el ciberdelincuente es importante hacerse de información como la dirección de facturación de la tarjeta de crédito, dato que, en muchas ocasiones, es requerido para registrar compras online. Finalmente, uno de los datos más críticos son los de la tarjeta de crédito, con la fecha de vencimiento y el código de seguridad del usuario engañado.
Una vez que se completan los datos, la información pasa a manos del estafador, el cual tendrá la opción de venderla en el mercado negro o directamente usarla para realizar compras o transacciones fraudulentas.
“Es interesante destacar la complejidad que tiene este tipo de estafa en ser detectada por un usuario distraído, debido a que tiene un dominio (falso) similar al domino real y presenta un certificado https valido. Así mismo, soluciones de seguridad como el antivirus o inclusive la seguridad de los navegadores no detectaban el sitio como malicioso, al menos en las primeras horas del incidente. Es por esto que la principal herramienta para la detección de estas amenazas está ligado a la Educación, Concientización y Colaboración de los usuarios.”, mencionó Lucas Paus, Especialista en seguridad informática de ESET Latinoamérica. “Si se tienen mínimas dudas de si un sitio u oferta es real, es preferible consultar primero y no arriesgarse. Luego de transcurridas unas horas, algunas soluciones de seguridad comenzaron a bloquearlo e inclusive el navegador indicará que se trata de un sitio falso.”, concluyó el especialista.
El phishing es una problemática vigente que suele utilizar como señuelo temáticas que estén de moda, los bajos precios, eventos masivos y/o de distinta naturaleza; siempre buscando despertar la curiosidad de los usuarios distraídos. No solamente se nutre de atacar sitios de entidades bancarias o tarjetas de crédito, sino que también afecta a sitios de compras en línea e inclusive redes sociales.