ESET, compañía líder en detección proactiva de amenazas, identificó una nueva estafa que utiliza sitios promocionados como fragmentos destacados en Google para direccionar a usuarios a una campaña de Ingeniería Social (técnicas utilizadas para engañar a un usuario a través de una acción o conducta social) prometiendo un teléfono Samsung S8 Plus a un dólar por completar una encuesta, con el objetivo de robar datos crediticios de sus víctimas.

Cuando un usuario formula una pregunta como búsqueda en Google, la respuesta suele mostrarse en un bloque destacado como primer resultado, de forma que el usuario puede leer la respuesta a su pregunta sin necesidad de ingresar al sitio. Esto es un fragmento destacado o también conocido por su término en inglés “featured snippets”. Estos fragmentos son seleccionados de forma automática, mediante un algoritmo que determina si es probable que la respuesta a la pregunta del usuario se encuentre en un determinado sitio web.

Investigación de la estafa

En este caso, desde el Laboratorio de Investigación de ESET Latinoamérica, se identificó que al buscar el término “ux” en Google, un fragmento destacado redireccionaba a los usuarios a sitios maliciosos donde se incitaba al usuario a completar una encuesta para poder obtener un beneficio; en este caso, un teléfono Samsung S8 Plus por un dólar. Diferentes formatos de encuestas se desplegaban a los usuarios, mostrando las mismas páginas tanto para computadores como teléfonos y tabletas inteligentes y, tras concretar la encuesta, el usuario siempre resultaba beneficiado.

Luego de completar la encuesta, la víctima es redirigida a un sitio con HTTPS que le solicitará ciertos datos personales para poder proseguir en su camino a ganar un smartphone. Otro dato de interés es que existen 75 dominios asociados al certificado de este sitio fraudulento, listados como nombres alternativos de la entidad receptora. Al navegar estos dominios, ESET detectó numerosos sitios de estafas disfrazados de páginas para obtener películas gratuitas, sitios pornográficos y otras estafas similares.

También cabe destacar que el dominio fue dado de alta los últimos días de abril y rápidamente la estafa alcanzó posicionarse entre fragmentos destacados de Google a principios de mayo destacando la velocidad con la que estas estafas aparecen y desaparecen del radar.

Luego del robo de datos personales, la estafa concluye con la compra ficticia del teléfono inteligente por el monto de un dólar. En esta instancia final, el atacante solicitará datos de la tarjeta de crédito de la víctima.

A continuación, desde el Laboratorio de Investigación de ESET Latinoamérica, se detallan algunos consejos que colaboran a salvaguardar la información mientras se navega en línea:

Si se enviará información confidencial, verificar si la conexión es cifrada mediante HTTPS, lo que puede usualmente observarse como un candado verde donde se encuentra la URL, y que el certificado de seguridad utilizado sea emitido por una autoridad confiable para el dominio de la entidad a la que intentas acceder.

1. Chequear que los perfiles en redes sociales que dicen ser de empresas o figuras de autoridad han sido verificados como cuentas oficiales.

2. Cancelar cualquier descarga de archivos que se inicie de manera automática.

3. Evitar descargar y abrir o ejecutar archivos provenientes de fuentes no confiables.

4. Recordar siempre que ninguna institución, bancaria o de otro tipo, solicita información sensible a través de medios como la web, correo electrónico o redes sociales.

Para más información ingrese al portal de noticias de ESET llamado We Live Securityen:

https://www.welivesecurity.com/la-es/2018/05/07/nueva-estafa-gana-victimas-mediante-fragmentos-destacados-de-google/