La mecánica es similar, los usuarios reciben un mensaje a través de WhatsApp con un link que lo lleva  a un sitio de internet que utiliza la imagen de las marcas antes mencionadas bajo la siguiente leyenda:

“¡Responde esta encuesta de 1 minuto para tener la posibilidad de ganar un Cupón de PEN500 de H&M”

El siguiente paso es responder una encuesta de cinco preguntas, al finalizar debes enviarla a 10 de tus contactos de WhatsApp para seguir participando por cupones de regalo (que es la manera en la que se esparce el engaño). Por último se te pide proporcionar un correo electrónico al que posiblemente te lleguen los datos con los que podrás hacer válido tu premio.

“Tal como en la campaña anterior, los cibercriminales detrás de este fraude tienen la capacidad de personalizar los ataques de acuerdo a los países de sus víctimas. Su objetivo es obtener información personal de los usuarios que puedan explotar en otras campañas maliciosas de spam, phishing o malware. Adicionalmente, al final de cada encuesta, tienen la oportunidad de publicitar a las víctimas elementos no deseados”, comentó Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis en Kaspersky Lab.

De acuerdo con Bestuzhev debemos desconfiar de ofertas compartidas en redes sociales y mensajerías de chat ya que la mayoría de las veces no son ofertas legítimas.

Asimismo, es recomendable no ofrecer información personal a cambio de premios puesto que los datos, reputación y seguridad del usuario puede correr peligro.

El éxito de este tipo de campañas y la razón por la que todas comparten tantos elementos en común es porque los maleantes siempre eligen temas universales y marcas populares que pueden engañar tanto a hombres como a mujeres.

En este caso, las marcas Zara y H&M son utilizadas para estafar debido a que son muy populares en México y América Latina. Ya están advertidos ¡Cuidado!

Los reportes comenzaron el 16 de agosto, momento en el que una cadena, que aparentemente provenía de Starbucks, comenzó a compartirse con rapidez entre los mexicanos.

De acuerdo con el mensaje, Starbucks te añadirá al sorteo de un número limitado de cupones con valor de $500 pesos mexicanos para que los gastes en la sucursal que prefieras a cambio de responder un par de preguntas. Cuando das clic en el link se te redirige a una ventana de tu navegador con un supuesto home de la empresa con logo oficial y en idioma inglés.

Lee también: ¿Cómo evitar ser victima de ataque phishing en Facebook?

La encuesta consta de apenas un par de preguntas y ha logrado engañar a varios gracias a que el malware utiliza la ubicación GPS para mostrar un mensaje. En esa información se indica la ciudad donde te encuentras (con nombre específico) y solicitando tu retroalimentación.

Lee también: Zara y H&M son utilizadas para estafar usuarios en WhatsApp.

Al final de la encuesta, y luego de haber compartido con 10 contactos, el siguiente paso es proporcionar tu nombre y correo electrónico para recibir un cupón. Aquí viene el problema pues se trata de una amenaza mejor conocida como phishing.

¿Cómo este mensaje phishing se propaga en WhatsApp?

Este engaño puede darse en cualquier lugar; incluso en el escritorio de una computadora; hay una secuencia de comandos en el sitio de esta encuesta con origen en Moldavia que detecta al usuario del navegador. Si coincide con una versión de escritorio, el script redirige al visitante a una URL con contenido malicioso.

Esta URL a su vez vuelve a dirigir a los visitantes desde otro sitio web para un Fake (Rogue): Servicio de Soporte Técnico con la intención de asustar a la víctima para que proporcione acceso remoto a tu sistema.

Las fallas pueden ser mucho más evidentes en esta etapa ya que para Google Hangouts las llamadas a este número están prohibidas.

Hasta el momento no se han registrado las amenazas reales de esta cadena maliciosa, pero es urgente que corras la voz entre tus conocidos y si recibes el mensaje dejes de propagarlo para evitar su expansión.

Por último te recomendamos utilizar siempre un antivirus actualizado en tu celular para que identifique de forma inmediata cuando se presenten este tipo y otros tipos de amenazas.