Estafas en WhatsApp, Instagram y Facebook: se hacen pasar por otros y venden dólares
Suplanta la identidad de una persona, usando alguna de las fotos de perfil de sus redes, aseguran que cambiaron el número, y pueden conectar a la lista de contactos por todas las redes sociales, para proceder a la estafa.
Si bien el número de teléfono es diferente (a veces te dicen que están cambiando el número de teléfono), el perfil era una copia del perfil legítimo, incluyendo fotografía y nombre de cuenta. A veces, incluso, pueden llegar a dirigirse por un apodo para dar más veracidad a la comunicación. Luego de mantener una conversación mínima, llega un mensaje fuera de lo común, tanto por los mensajes que se intercambian así como por la relación que se puede tener con la persona cuya identidad fue suplantada: Se pregunta por personas interesadas en comprar dólares.
"En primer lugar, notamos que la cuenta usada para llevar a cabo el engaño posiblemente haya sido robada, ya que se trataba de una cuenta de WhatsApp Business que pertenecía a una compañía del rubro automotor. Además, tras revisar sus redes sociales y perfiles en distintas aplicaciones, nos dimos cuenta de que el usuario usaba la misma fotografía y nombre de perfil en otros servicios públicos. Esto podría significar que su cuenta de WhatsApp no fue comprometida y que los estafadores suplantaron su identidad utilizando otra cuenta robada de la red social de mensajería más popular en Argentina.", comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica, la empresa que descubrió la estafa.
Al parecer, la víctima había sido afectada por un ataque de phishing donde entrego sus credenciales y así el atacante tuvo acceso a la lista de contactos de la víctima
A mediados de noviembre de 2021 creció la cantidad de casos reportados utilizando este modus operandi y, al día de hoy, continúa siendo utilizado por cibercriminales. En los casos observados por ESET a usuarios de Argentina, luego de suplantar la identidad de la víctima, el cibercriminal convence a los contactos que tiene en su poder dólares para vender y que necesita que la persona le transfiera el dinero (que suele ser menor a la cotización oficial) para concretar el acuerdo. Con el dinero ya transferido, el cibercriminal le promete a la persona que los dólares van a ser entregados, para luego bloquear el usuario y quedarse con el dinero.
"Uno de los aspectos clave para esta estafa, y que muchos usuarios desconocen, es la facilidad para obtener los contactos sincronizados habiendo ingresado a una cuenta de correo electrónico. En el caso de una cuenta de Google, por ejemplo, basta con buscar el submenú "Contactos" dentro de Gmail. Dentro de este se puede, no solo visualizar todos los contactos sincronizados con sus números y nombres asignados, sino también exportarlos en un formato ideal para este tipo de ataques.", agrega López
A tener en cuenta
Para evitar este tipo de estafas, lo más recomendable es evitar compartir demasiada información en cuentas que no se utilizan con frecuencia, como nombre completo, imagen de perfil, edad, entre otros. Sobre todo, si se trata de información pública. Esto lo puede usar un cibercriminal para realizar un ataque de suplantación de identidad. También es recomendable activar el doble factor de autenticación y utilizar una contraseña fuerte, especialmente en aquellas cuentas que tengan asociadas información de interés para los cibercriminales: Contactos, tarjetas bancarias, información personal identificable como documentos o pasaportes, información laboral, etcétera.
