BeTech: noticias de tecnología

WHATSAPP

Nadie te va a regalar un reloj Rolex en WhatsApp: así es el último Phising viral

La marca de relojes de lujo Rolex celebra su centenario, y lo hace regalando relojes por WhatsApp. ¿Te lo crees? Pues es falso.

Nadie te va a regalar un reloj Rolex en WhatsApp: así es el último Phising viral

¿Sabías que la marca de relojes de lujo Rolex está de aniversario porque cumple 100 años? ¿Sabías también que lo está celebrando con una acción de regalar relojes gratis por WhatsApp? ¿Sabías que todo esto que te estamos contando es falso? Es el último timo phishing que circula por WhatsApp, y uno que se ha hecho viral además.

Regalar Rolex por WhatsApp

En los últimos días han circulado miles de mensajes por WhatsApp anunciando una supuesta campaña de marketing en la que Rolex celebra su primer centenario. Algo complicado, dado que Rolex fue fundada en 1905 (bajo otro nombre), los 100 años los cumplió en 2005, hace 16 años ya. E incluso aunque fuese celebrar el aniversario de cuando estableció el nombre en sí de Rolex, eso fue en 2015.

El enlace, en el que se anuncia que “tienes la oportunidad de conseguir un Rolex gratis”, dirige a una página de destino que, según el análisis de la firma experta en ciberseguridad Panda Security, es un claro caso de phishing. Como leemos en su web, esto es una estafa, pero una bien preparada: En este caso, “los hackers se han empleado a fondo en hacer que su página de phishing parezca lo más real posible, hasta el punto de que ha “engañado” a la inmensa mayoría de antivirus del mercado”.

En concreto, la web cumple aparentemente con los certificados correctos de seguridad como el protocolo SSL, una conexión segura y porque todos sus recursos se sirven de forma segura al usuario. De hecho, según se puede ver en el scanner VirusTotal en el momento de la edición de este post, “sólo un sistema de seguridad en todo el mundo tenía la web catalogada como ‘maliciosa’”.

Un claro caso phishing convertido en viral

No obstante, la propia operativa de la página es un claro fraude. En primer lugar, porque el sitio ha sido desarrollado para captar toda la información posible de las personas que lo visitan. En concreto, la web guía al usuario hasta un formulario para captar sus datos, a través de un supuesto concurso en el que, sí o sí, va a ganar el premio de un Rolex gratis. Como es habitual en estos ataques de phishing, la víctima tiene que compartir información personal muy relevante para recibir el supuesto regalo.

Otro de los riesgos de esta estafa es que, al pinchar en el enlace, lo primero que hace la web es instalar un adblocker para que no se muestren anuncios al navegar por la web.Se trata de una estrategia habitual entre este tipo de grupos organizados de hackers. Bien para promocionar alguna aplicación que han desarrollado con la que más tarde inocular algún tipo de malware en miles de equipos, bien para promocionar algún tipo de negocio aparentemente legítimo”, apunta Hervé Lambert, Global Consumer Operations Manager de Panda Security.

55.000 víctimas han picado por WhatsApp

Se trata de un ataque de gran envergadura, pues "la campaña de phishing que hemos detectado en España no es más que la traducción de otra que se había generado a finales del mes de mayo para usuarios anglosajones". Aunque todavía se desconoce el alcance real y el número de víctimas de este phishing en español, la versión inglesa de esta estafa ya ha recaudado los datos de más de 55.000 personas en todo el mundo.

Cómo funciona la estafa

  1. Se piden datos personales a los usuarios disfrazados entre preguntas más inocuas.
  2. Pese a su apariencia de concurso, “siempre ganaremos el supuesto premio”.
  3. Añaden falsos comentarios para darle mayor verosimilitud, al igual que hacen con los logotipos, la copia de la imagen de marca y en ocasiones colocando sellos de instituciones para dar la impresión de ser legales. Sin embargo, si nos fijamos podemos ver que el lenguaje tiene fallos propios de un traductor online.
  4. Después de participar en el sorteo, nos llegan los requisitos para recibir el supuesto regalo. Para ello, tenemos que hacer clic en el enlace, que de inmediato "instalará malware en nuestro equipo".