fraude samsung galaxy

Mira que en el trabajo me suelo enfrentar bastante a estas tipologías de campaña de phishing, pero por no ser pesado, no siempre lo comento por aquí.

Pero esta vez me pilla de viaje, así que ya tengo una excusa para pasar el rato :).

El caso es que estábamos hace un momento mi pareja y yo (la semana anterior si me lees en el momento de publicar esta pieza) viendo el último capítulo de Picard en Amazon Prime Video (ES) aprovechando las dos horas largas que vamos a tener perdidas en el AVE rumbo al Most Congress de Benidorm (ella cierra el evento y un servidor tiene una reunión en la ciudad por la mañana), cuando veo que recibo una notificación de Instagram.

Y en mi caso, esto solo ocurre cuando alguien me etiqueta en una foto (ya sabes que soy muy restrictivo con la gestión de notificaciones). Puesto que tengo a Èlia a mi lado, ella no podía haber sido, así que le echo un ojo y veo que es una cuenta que no conozco.

Entro, y en efecto me ha etiquetado a mi y a otras cuantas decenas de usuarios a una imagen como la que ves a continuación.

fraude instagram

El vector de ataque: Etiquetar a personas random en Instagram

Al parecer, me ha tocado por mi cara bonita un Samsung Galaxy S10. ¡Toma ya!

Sin haber participado en ningún sorteo, para más inri.

Eso sí, tengo que reclamarlo en menos de 24 horas. Por eso de crear sensación de urgencia. La base de cualquier timo, por supuesto.

Le digo a mi pareja que voy a parar a echarle un vistazo al tema, y ella se pone a trabajar con su portátil.

Pues ala, ya tengo dos horitas entretenidas.

Lo primero que hago es visitar el perfil de quien me ha etiquetado. Como ves en la imagen superior, tiene 550 publicaciones, 0 seguidos y 0 seguidores (todo muy normal, vaya), y todas sus fotos han sido publicadas casi al mismo momento (la primera es de hace 5 minutos). Con prácticamente el mismo contenido, y enlazando siempre a diferentes cuentas de potenciales víctimas.

Vamos, que claramente no está automatizado, ¿verdad?

Vamos a seguir anda…

fraude samsung galaxy fase 1

Fase 1 del fraude: La página es una mera redirección a otra página de encuestas

En la publicación en Instagram me dicen que tengo que entrar en la web s10-samsung.com para reclamar mi terminal. La típica URL que algún despistado podría pensar que en efecto pertenece a samsung.com… cuando no es así, ya que el guión medio es a efectos de una URL un caracter más. A este tipo de engaños con las URLs se les llama ataques de homografía.

Aún con todas, pues tecleo la dirección en el navegador y como cabría esperar me hace una redirección a otra página con una URL impronunciable que además me pide que rellene una encuesta sobre la supuesta compañía que está detrás del sorteo.

Y aquí quiero hacer varias matizaciones:

  • Para empezar, ahora lo que me regalan es un Samsung Galaxy S9, no el 10.
  • Te muestra la IP de tu terminal y el sistema operativo. Esto tiene como objetivo y aunque sea de forma indirecta generar mayor presión. Es como decir: ¡Ya sé quien eres, así que más te vale terminar todo el proceso!
  • Y además, de pura casualidad me he dado cuenta gracias a que en el AVE se va y viene la conectividad a cada rato, que esta página realmente funciona como hub de campaña de phishing. Algunas veces de las que he tenido que recargarla para preparar este artículo me decía que había ganado un iPhone 10, otras un Huawei P30…. La encuesta, eso sí, siempre es la misma.

Son varias preguntas que tienen como objetivo, en principio, que valores el nivel de satisfacción que tienes a la hora de utilizar los servicios de esta supuesta compañía. ¡Antes tan siquiera de que los haya probado!

Supongo que o bien son datos que utilizan para demostrar la credibilidad de su modelo de negocio (a fin de cuentas es obligatorio que respondas a sus preguntas para continuar), pero sobre todo, por debajo, para cerrar un poco más el grifo de la potencial víctima (si ya has completado la encuesta, estás más preparado para caer en el resto de la trampa).

Justo lo mismo que pasa en todas esas tipologías de campaña de phishing, como en la de esa novia que me eché del ejército de EEUU que primero me pedía unos euros y al final ya iban a ser varios miles.

Cuando la completas, se pone como a calcular algo (ya te digo yo que es todo un paripé), y casualmente me dan a elegir mi regalo, estando solo disponible el móvil de Samsung.

Y aquí, otras dos matizaciones:

  • Tengo dos minutos 30 segundos escasos para terminar todo el proceso, o directamente perderé esta oportunidad única.
  • Solo quedan dos terminales: ¡Es ahora o nunca!

Suma ambos puntos y tienes nuevamente ese sentimiento de urgencia que en su día definí como uno de los 6 factores claves de la ingeniería social, aplicada esta vez a una campaña de phishing. 6 factores que son exactamente los mismos que en su día definió Cialdini hablando de la persuasión.

fraude samsung galaxy fase 2

Fase 2 del fraude: Toca dar datos personales

Pero oye, que yo quiero mi teléfono, aunque sea la versión anterior.

Le doy a recoger mi smartphone, y nuevamente me lleva a otra página con URL impronunciable, y buenas noticias.

¡Al final sí me ha tocado el S10+!

De hecho al parecer tiene un precio de mercado de 1.009€, pero yo lo voy a conseguir tan solo por 1,5€.

¡Ostia puta, pensé que era gratis! Pero mira, que un euro no va a ningún lado… A fin de cuentas, también me incluye un par de Galaxy Buds, y esto sí que es un notición.

Así que me pongo a completar los datos y le doy a enviar.

Fase 3 de la campaña de phishing: Lo barato sale (muy) caro

Falta por tanto el último punto: pagar.

Fíjate que hemos pasado de ser el ganador de un Samsung Galaxy S10, a ser el ganador de un Samsung Galaxy S9, a poder comprar el Galaxy S10+ con sus auriculares con un 99% de descuento.

1 euro cincuenta céntimos no es nada, así que muchos, llegados a este punto, y después de seguir todo el proceso (un embudo de conversión típico), harán de tripas corazón y pagarán.

A fin de cuentas, lo peor que puede pasar es que pierda 1,5€ ¿no?

Pero como todo en este mundo el diablo está en los pequeños detalles, ya que si seguimos leyendo en esa misma página nos informan que:

  • De una u otra manera, con un texto algo rebuscado, la empresa puede decidir unilateralmente no entregarnos el dispositivo.
  • Y para más inri, este registro nos suscribe a un servicio totalmente gratis los primeros tres días. A partir del tercero, eso sí, pagaremos 75 euros que se nos pasarán automáticamente a la tarjeta.

Eso sí, por supuesto podemos cancelar cuando queramos la suscripción (habrá que ver qué tan fácil es, por cierto). Pero tendremos que avisar al menos con 3 días de antelación.

Es decir, que sí o sí nos van a cobrar 76,5€ por un smartphone que puede que recibamos o puede que no. Y que ya te digo yo que no vamos a recibir jamás.

Un negocio semejante al de las aplicaciones supuestamente gratuitas que incluyen servicios de suscripción, o el de los fraudes de SMS premium que ya hemos explicado en profundidad.

La cuestión aquí es que no están haciendo nada estrictamente ilegal. Reprochable, por supuesto, pero en todo momento te avisan de que lo que se va a hacer, utilizando para ello ganchos moralmente cuestionables (urgencia artificialmente creada en base a las unidades disponibles y el tiempo que tienes para completar todo el proceso, redirecciones para dificultad que algún organismo oficial les cierre el chiringuito…).

La empresa, por cierto, está registrada en Chipre, que casualmente es uno de esos paraísos fiscales proteccionistas con los datos de sus empresas. Así que una vez estafados, vete tú a denunciarles a ver hasta donde llegas…

En fin, que es un ejemplo más de campaña de phishing como las que pululan por la red utilizando como vector de ataque las redes sociales.

Espero que al menos este artículo escrito con rapidez en el viaje le sirva a alguien.

De los típicos artículos que te recomendaría compartir con tus familiares y amigos.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.