«¡Hola! ¡Mi sobrina va a participar en un concurso! ¿Puedes votar por ella? Significa mucho para ella». Mensajes de este tipo se han difundido desde hace mucho tiempo en WhatsApp y detrás de algunos de ellos se esconde un ataque que podría afectar a posibles víctimas y provocar la pérdida de su cuenta.
Kaspersky informa de ello y explica que los ciberdelincuentes preparan el ataque creando primero páginas de phishing convincentes que albergarán encuestas de votación falsas: el siguiente ejemplo se refiere a jóvenes gimnastas, pero el escenario se adapta fácilmente a cualquier contexto. Las páginas parecen auténticas: incluyen fotografías de participantes reales, botones de votación y contadores que muestran cuántas personas ya han votado. Es fácil imaginar que con la ayuda de la inteligencia artificial y los kits de phishing, los atacantes pueden producir fácilmente versiones en varios idiomas del mismo sitio. Kaspersky informes haber identificado la misma encuesta en inglés, español, alemán, turco, danés, búlgaro y otros idiomas.
Cómo funciona la trampa
Primera fase. En las redes sociales, en los servicios de mensajería o a través del correo electrónico, los estafadores utilizan técnicas de ingeniería social para redirigir al usuario al sitio de votación falso. El pretexto puede ser creíble y el mensaje puede provenir de un amigo o familiar cuya cuenta ha sido comprometida. La solicitud suele ser personalizada: en el primer mensaje el estafador haciéndose pasar por un conocido pide votar por un competidor concreto porque es su representante, un amigo o un familiar.
Segunda fase. Cuando haces clic en «Votar», se te redirige a una página que te pide que te autentifiques rápidamente a través de WhatsApp. Simplemente ingrese el número de teléfono asociado con el programa de mensajería.
Tercera fase. Los atacantes aprovechan la función de inicio de sesión con código de un solo uso en WhatsApp Web. Al ingresar el número de teléfono proporcionado por el usuario desprevenido, WhatsApp genera un código de verificación único de ocho caracteres. Los atacantes muestran inmediatamente ese código en el sitio falso, acompañado de instrucciones: abra WhatsApp, vaya a «Dispositivos conectados» e ingrese el código. Para mayor comodidad, incluso hay un botón para copiar el código al portapapeles.
WhatsApp en su teléfono muestra un mensaje para conectar un nuevo dispositivo escribiendo el código. Al hacer clic en esta opción, se mostrará una advertencia de que alguien está intentando conectarse a su cuenta, con un campo para ingresar el código.
Lamentablemente, muchos usuarios, con el deseo de ayudar a un completo desconocido a ganar un concurso, no leen atentamente las advertencias de WhatsApp. Tan pronto como la víctima descuidada escribe el código en la aplicación del teléfono, se activa la sesión web iniciada por los atacantes.
Si ingresa el código, los ciberdelincuentes obtienen acceso completo a WhatsApp como si hubiera iniciado sesión usted mismo, por ejemplo desde una computadora al lado de su teléfono. Los atacantes pueden ver todos los contactos, leer conversaciones, enviar y eliminar mensajes en nombre del usuario e incluso tomar el control total de la cuenta. Esto abre más posibilidades de fraude, como hacerse pasar por usted para extorsionar a sus contactos o difundir el enlace de phishing ofensivo.
Cómo proteger tu cuenta
Entre los consejos para proteger tu cuenta de Whatsapp:
- Nunca participe en concursos o votaciones dudosas, especialmente si requieren autenticación. Las encuestas legítimas no requieren acceso a las cuentas personales de los usuarios.
- No hagas clic en enlaces sospechosos en mensajes, incluso si provienen de amigos o familiares. Es posible que sus cuentas hayan sido manipuladas.
Nunca ingrese datos personales en sitios web desconocidos, especialmente aquellos a los que se accede a través de mensajes o enlaces de redes sociales. Compruebe siempre la URL con atención. - Habilitar la verificación de dos factores en los ajustes de WhatsApp: esta elección requerirá introducir un código PIN de seis dígitos para iniciar sesión en un nuevo dispositivo, complicando el trabajo de los atacantes incluso en el caso de un número comprometido. Sin embargo, no protege contra el ataque descrito anteriormente: el código de un solo uso mostrado ya es, según WhatsApp, el “segundo factor”. Es por eso que no se requiere su PIN durante este método de inicio de sesión
- Utilice una clave de acceso en lugar de contraseñas tradicionales siempre que sea posible. WhatsApp ya admite claves de acceso para la verificación de cuentas.
Para todas las actualizaciones sobre seguridad informática, puede consultar la sección dedicada de Macitynet.