Mira que en el trabajo me suelo enfrentar bastante a estas tipologías de campaña de phishing, pero por no ser pesado, no siempre lo comento por aquí.
Pero esta vez me pilla de viaje, así que ya tengo una excusa para pasar el rato :).
El caso es que estábamos hace un momento mi pareja y yo (la semana anterior si me lees en el momento de publicar esta pieza) viendo el último capítulo de Picard en Amazon Prime Video (ES) aprovechando las dos horas largas que vamos a tener perdidas en el AVE rumbo al Most Congress de Benidorm (ella cierra el evento y un servidor tiene una reunión en la ciudad por la mañana), cuando veo que recibo una notificación de Instagram.
Y en mi caso, esto solo ocurre cuando alguien me etiqueta en una foto (ya sabes que soy muy restrictivo con la gestión de notificaciones). Puesto que tengo a Èlia a mi lado, ella no podía haber sido, así que le echo un ojo y veo que es una cuenta que no conozco.
Entro, y en efecto me ha etiquetado a mi y a otras cuantas decenas de usuarios a una imagen como la que ves a continuación.
Índice de contenido
El vector de ataque: Etiquetar a personas random en Instagram
Al parecer, me ha tocado por mi cara bonita un Samsung Galaxy S10. ¡Toma ya!
Sin haber participado en ningún sorteo, para más inri.
Eso sí, tengo que reclamarlo en menos de 24 horas. Por eso de crear sensación de urgencia. La base de cualquier timo, por supuesto.
Le digo a mi pareja que voy a parar a echarle un vistazo al tema, y ella se pone a trabajar con su portátil.
Pues ala, ya tengo dos horitas entretenidas.
Lo primero que hago es visitar el perfil de quien me ha etiquetado. Como ves en la imagen superior, tiene 550 publicaciones, 0 seguidos y 0 seguidores (todo muy normal, vaya), y todas sus fotos han sido publicadas casi al mismo momento (la primera es de hace 5 minutos). Con prácticamente el mismo contenido, y enlazando siempre a diferentes cuentas de potenciales víctimas.
Vamos, que claramente no está automatizado, ¿verdad?
Vamos a seguir anda…
Fase 1 del fraude: La página es una mera redirección a otra página de encuestas
En la publicación en Instagram me dicen que tengo que entrar en la web s10-samsung.com para reclamar mi terminal. La típica URL que algún despistado podría pensar que en efecto pertenece a samsung.com… cuando no es así, ya que el guión medio es a efectos de una URL un caracter más. A este tipo de engaños con las URLs se les llama ataques de homografía.
Aún con todas, pues tecleo la dirección en el navegador y como cabría esperar me hace una redirección a otra página con una URL impronunciable que además me pide que rellene una encuesta sobre la supuesta compañía que está detrás del sorteo.
Y aquí quiero hacer varias matizaciones:
- Para empezar, ahora lo que me regalan es un Samsung Galaxy S9, no el 10.
- Te muestra la IP de tu terminal y el sistema operativo. Esto tiene como objetivo y aunque sea de forma indirecta generar mayor presión. Es como decir: ¡Ya sé quien eres, así que más te vale terminar todo el proceso!
- Y además, de pura casualidad me he dado cuenta gracias a que en el AVE se va y viene la conectividad a cada rato, que esta página realmente funciona como hub de campaña de phishing. Algunas veces de las que he tenido que recargarla para preparar este artículo me decía que había ganado un iPhone 10, otras un Huawei P30…. La encuesta, eso sí, siempre es la misma.
Son varias preguntas que tienen como objetivo, en principio, que valores el nivel de satisfacción que tienes a la hora de utilizar los servicios de esta supuesta compañía. ¡Antes tan siquiera de que los haya probado!
Supongo que o bien son datos que utilizan para demostrar la credibilidad de su modelo de negocio (a fin de cuentas es obligatorio que respondas a sus preguntas para continuar), pero sobre todo, por debajo, para cerrar un poco más el grifo de la potencial víctima (si ya has completado la encuesta, estás más preparado para caer en el resto de la trampa).
Justo lo mismo que pasa en todas esas tipologías de campaña de phishing, como en la de esa novia que me eché del ejército de EEUU que primero me pedía unos euros y al final ya iban a ser varios miles.
Cuando la completas, se pone como a calcular algo (ya te digo yo que es todo un paripé), y casualmente me dan a elegir mi regalo, estando solo disponible el móvil de Samsung.
Y aquí, otras dos matizaciones:
- Tengo dos minutos 30 segundos escasos para terminar todo el proceso, o directamente perderé esta oportunidad única.
- Solo quedan dos terminales: ¡Es ahora o nunca!
Suma ambos puntos y tienes nuevamente ese sentimiento de urgencia que en su día definí como uno de los 6 factores claves de la ingeniería social, aplicada esta vez a una campaña de phishing. 6 factores que son exactamente los mismos que en su día definió Cialdini hablando de la persuasión.
Fase 2 del fraude: Toca dar datos personales
Pero oye, que yo quiero mi teléfono, aunque sea la versión anterior.
Le doy a recoger mi smartphone, y nuevamente me lleva a otra página con URL impronunciable, y buenas noticias.
¡Al final sí me ha tocado el S10+!
De hecho al parecer tiene un precio de mercado de 1.009€, pero yo lo voy a conseguir tan solo por 1,5€.
¡Ostia puta, pensé que era gratis! Pero mira, que un euro no va a ningún lado… A fin de cuentas, también me incluye un par de Galaxy Buds, y esto sí que es un notición.
Así que me pongo a completar los datos y le doy a enviar.
Fase 3 de la campaña de phishing: Lo barato sale (muy) caro
Falta por tanto el último punto: pagar.
Fíjate que hemos pasado de ser el ganador de un Samsung Galaxy S10, a ser el ganador de un Samsung Galaxy S9, a poder comprar el Galaxy S10+ con sus auriculares con un 99% de descuento.
1 euro cincuenta céntimos no es nada, así que muchos, llegados a este punto, y después de seguir todo el proceso (un embudo de conversión típico), harán de tripas corazón y pagarán.
A fin de cuentas, lo peor que puede pasar es que pierda 1,5€ ¿no?
Pero como todo en este mundo el diablo está en los pequeños detalles, ya que si seguimos leyendo en esa misma página nos informan que:
- De una u otra manera, con un texto algo rebuscado, la empresa puede decidir unilateralmente no entregarnos el dispositivo.
- Y para más inri, este registro nos suscribe a un servicio totalmente gratis los primeros tres días. A partir del tercero, eso sí, pagaremos 75 euros que se nos pasarán automáticamente a la tarjeta.
Eso sí, por supuesto podemos cancelar cuando queramos la suscripción (habrá que ver qué tan fácil es, por cierto). Pero tendremos que avisar al menos con 3 días de antelación.
Es decir, que sí o sí nos van a cobrar 76,5€ por un smartphone que puede que recibamos o puede que no. Y que ya te digo yo que no vamos a recibir jamás.
Un negocio semejante al de las aplicaciones supuestamente gratuitas que incluyen servicios de suscripción, o el de los fraudes de SMS premium que ya hemos explicado en profundidad.
La cuestión aquí es que no están haciendo nada estrictamente ilegal. Reprochable, por supuesto, pero en todo momento te avisan de que lo que se va a hacer, utilizando para ello ganchos moralmente cuestionables (urgencia artificialmente creada en base a las unidades disponibles y el tiempo que tienes para completar todo el proceso, redirecciones para dificultad que algún organismo oficial les cierre el chiringuito…).
La empresa, por cierto, está registrada en Chipre, que casualmente es uno de esos paraísos fiscales proteccionistas con los datos de sus empresas. Así que una vez estafados, vete tú a denunciarles a ver hasta donde llegas…
En fin, que es un ejemplo más de campaña de phishing como las que pululan por la red utilizando como vector de ataque las redes sociales.
Espero que al menos este artículo escrito con rapidez en el viaje le sirva a alguien.
De los típicos artículos que te recomendaría compartir con tus familiares y amigos.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Hola, Pablo.
Me recuerda a una ocasión cuando me llamaron al teléfono fijo de una concesionaria de la zona porque me había ganado un auto 0km. La gracia estaba en que te bonificaban unas cuotas, no era gratis.
En otro momento, promotores de una empresa de telefonía repartían “raspaditas” (no sé cómo les llaman allá) y todas tenían premios: una gorra, remeras, lapiceras, etc. El chiste estaba en que para obtener el premio había que adquirir la línea telefónica de pago mensual.
No sé si eso es estrictamente phishing, tampoco sé es un fraude o ilegal realmente, pero juegan con los sentimientos de las personas.
Saludos
Es una táctica de venta. Inmoral, por supuesto, pero probablemente legal, lamentablemente…
Al menos si en efecto cumplen con lo prometido claro. En este caso ya te digo yo que jamás te va a llegar ese smartphone.
Acabo de recibir este correo electrónico y claro hay que pagar 1.5€ de gastos de envío. Lo curioso es que yo si participe en un concurso de Mundo Galaxy hace meses por lo que me hace dudar.
Gonzalo Cadillá
A principios de esta semana intentamos comunicarnos contigo por teléfono o correo electrónico, pero no fue posible. O bien tenemos un número incorrecto en nuestro sistema o hay algún problema con tu correo electrónico; en este caso, creo que este mensaje te encontrará sin problema
Hace 3 meses participaste en un concurso en línea. Lamento informarte que no ganaste el primer premio, pero me complace indicarte que el segundo premio lleva tu nombre. En caso de que no lo recuerdes, el segundo premio es una de nuestras nuevas tabletas Galaxy. Tengo tu paquete aquí en mi escritorio listo para enviar, pero como no pude comunicarme contigo por teléfono necesito que rellenes sus datos utilizando nuestra plataforma en línea.
Una vez haya recibido la confirmación de nuestra plataforma con tus datos de contacto me aseguraré de que mi asistente Eva envía tu paquete lo antes posible.
Gonzalo – Ten en cuenta que, debido a las condiciones del concurso, debes rellenar tus datos dentro de las próximas 24 horas; si no lo haces, estoy obligado a elegir otro ganador.
Confirma los datos y organiza tu envío aquí
Disfruta del resto de su día y cuídate
Saludos,
Montse
Responsable de marketing España
Buenas Gonzalo, como te contesté por WhatsApp, la URL que me pasaste está bloqueada, así que me da que en efecto era un fraude.
Además es muy pero que muy raro que te hagan pagar un euro y algo por ganar un sorteo. Olvídate, que fue una estafa y por lo que parece ya los han baneado.