Ciberdelincuentes advierten sobre una falsa intromisión en los perfiles de las víctimas y con una novedosa estrategia consiguen el acceso a sus cuentas.
Una nueva y peligrosa campaña de phishing ya causa estragos entre usuarios de plataformas de comercio electrónico y billeteras virtuales.
Se trata de una estafa que llega a través de un correo electrónico no solicitado y con un solo click los ciberdelincuentes toman el control de las cuentas de las víctimas y les vacían sus ahorros.
El engaño comienza cuando una persona recibe un email con un aviso urgente de una supuesta intromisión en su cuenta de Mercado Libre. En el texto se advierte que se activó una alerta de seguridad como método de verificación de la cuenta y se aconseja hacer click en un botón para confirmar que no fue el usuario quien intentó ingresar.
En el correo también se especifica la fecha del supuesto intento, la hora, el dispositivo y el lugar geográfico desde donde intentaron ingresar. Todo eso es falso y tiene el propósito de confundir a la víctima.
Debajo de esa información aparece el mensaje: “Si fuiste vos, ignorá este aviso”. Y luego un botón con la leyenda: “No fui yo”.
Como todo es mentira, el usuario, en el apuro, y para proteger su cuenta, se ve obligado a hacer click. Y es en ese momento en el que se activa el ataque.
Al posar sobre el botón, que contiene un enlace, se puede ver que la dirección a la que redirige es una web maliciosa y no la oficial de la plataforma. Cuando el usuario accede, un formulario pide que se ingresen usuario y contraseña. Luego de hacerlo, la pantalla se congela y la víctima no puede ingresar a su cuenta.
Lo que ocurrió, en segundo plano, es que los ciberdelincuentes capturaron los datos y con ellos ya ingresaron al perfil del usuario y, desde allí, a la cuenta de Mercado Pago para vaciarla con transferencias.
Esta metodología se hizo viral y son varios los usuarios y víctimas que alertaron en redes sociales sobre la estafa.
Cómo evitar el hackeo de tu billetera virtual
La principal medida para evitar hackeos de este tipo es desestimar emails no solicitados que intimen a realizar alguna acción urgente. Los ciberdelincuentes juegan con el apuro y se aprovechan de momentos de fragilidad de los usuarios, por lo que, antes correos con avisos y advertencias, en importante tomarse unos segundos y analizar la situación antes de hacer click en cualquier lado.
Luego, es recomendable verificar la dirección desde donde se envió el email. Por más que el nombre del remitente parezca oficial, siempre viene de dominios que no son los de las plataformas o desde proveedores genéricos, como Gmail, Yahoo, etc.
También es importante chequear a dónde dirige el enlace donde sugieren hacer click. Ahí está otra de las claves de la estafa. En estos casos, nunca lleva a una web oficial, sino a una falsa y maliciosa con una URL similar.
Otro detalle a tener en cuenta es que los mensajes y avisos falsos suelen tener errores de ortografía y están mal escritos. En este caso, le faltan las tildes y signos de puntuación. Una empresa grande y seria no comete esos errores.
Por último, activá siempre el segundo factor de autenticación.De esa manera, aunque los ciberdelincuentes consigan tus contraseñas, esta función les pedirá otra manera de verificación, biométrica (tu huella o FaceID), o un código PIN que se envía a tu casilla.