Con anuncios en Facebook buscan robar datos de tarjetas de crédito

Los delincuentes también se adaptan a las contigencias que impone el coronavirus. En plena cuarentena, cuando mucha gente hace compras y demás operaciones desde casa por Intenet, los asaltantes se vuelcan allí para hacer de las suyas.

La firma ESET, especializada en ciber seguridad y detección de amenazas informáticas, identificó una campaña de ingeniería social que se está distribuyendo a través de anuncios en la más popular red social. En Facebook circula, cual virus, anuncios con distintas ilustraciones que suplantan la identidad de Mercado Libre a fin de robar datos e información bancaria de incautos.

Este nuevo engaño suplanta la identidad de Mercado Libre y Mercado Pago para robar credenciales de acceso, datos de tarjetas de crédito y el documento de identidad. El anuncio en la red social va dirigido a clientes platinium de distintas tarjetas de crédito y ofrece una supuesta promoción (ver imágen) para acceder a una tarjeta de crédito exclusiva de la conocida plataforma de pagos Mercado Pago.

Aunque la trampa se tiende con una apariencia legítima, cualquier persona puede descubrirla siguiendo unos pasos de verificación. Lo primero que debería llamar la atención de la potencial víctima es que, como suele ocurrir, el sitio al que se invita a acceder no se trata de un dominio oficial de Mercado Pago. No obstante, si el usuario se interesa en la oferta, dependiendo del dispositivo desde el cual acceda al enlace, se encontrará con las distintas imágenes."

En realidad esas "pantallas" que pasa a visualizar son fachadas, el trasfondo no es otro que hacerse con toda la información clave del usuario. En el caso de utilizar una computadora, se direcciona al usuario a acceder a través de la aplicación de su celular, el dispositivo que por suele concentrar y almacenar la información bancaria de cada persona. Las imágenes a continuación también registran los distintos momentos del falso proceso en el que en realidad la victima progresivamente está entregando su información bancaria a los delincuentes.

Al acceder desde el dispositivo móvil al falso sitio, la campaña fraudulenta comienza a recolectar datos de las víctimas. Primero solicita ingresar la dirección de correo o nombre de usuario y la contraseña para acceder a la plataforma.

Con la finalidad de averiguar qué datos solicita la campaña Utilizando, ESET completo con datos ficticios durante toda la prueba. Tras ingresar las credenciales, bajo el argumento de validar la identidad del usuario, se solicita ingresar todos los datos de la actual tarjeta de crédito. Luego, solicita una foto del frente y dorso del documento de identidad de la víctima.

Luego de recopilar todos estos datos de la víctima, el sistema redirecciona a una página de Facebook en la que se suplanta la identidad de Mercado Libre. “Con los datos obtenidos a través de la campaña, los ciberdelincuentes no solo pueden realizar transacciones con la tarjeta de crédito o comercializar esta información, sino que tienen en su poder las herramientas necesarias para realizar estafas de suplantación de identidad. Inclusive, pueden contratar productos crediticios en billeteras digitales o bancos online, los cuales pueden ser activados en línea utilizando como forma de validación el envío de la información recolectada, como la foto del documento.”, comenta Luis Lubeck, especialista de seguridad informática de ESET Latinoamérica.

ESET ya alertó a MercadoLibre sobre la existencia de esta campaña. La compañía recomiendan monitorear los movimientos de la tarjeta de crédito afectada, y también consultar periódicamente que no hayan solicitado productos bajo su nombre. Los expertos de la compañía señalan que estos engaños suelen replicarse en otros países manejando una comunicación adaptada a cada región. Es decir que las piezas gráficas que funcionan de "carnada" pueden cambiar entre países; además, los delicuentes suelen elegir como ganchos las marcas más populares de cada región, tal es el caso de Mercado Libre, en Colombia.

“Ante la más mínima duda de la legitimidad de una promoción los usuarios no deben hacer clic, nunca dar clic en un enlace que aparezca en un contexto sospechoso, sobre todo si se trata de un mensaje que llega de manera inesperada. En caso de observar un anuncio sobre un producto o servicio que le interesa, recomendamos verificar su procedencia y acceder a más información desde el sitio oficial. Por otra parte, si usted fue víctima de este engaño y compartió su información personal, recomendamos modificar sus credenciales de acceso y comunicarse con su entidad financiera.”, concluye Lubeck.