Seleccionar página

¿En serio 1 año gratis de Spotify Premium?


 

Spotify ahora es el móvil de una nueva campaña mundial de fraudes por internet.

Desde hace 2 días circula un mensaje por WhatsApp que Spotify está promocionando 1 año gratis de Cuentas Premium.

Si tienes cuenta en WhatsApp, el mensaje es similar cualquiera de las imágenes de abajo.

 

Phishing Spotify

 

Phishing Spotify

 

Phishing: el arte de pescar incautos.


 

La compañía de seguridad informática Panda Security detectó a través de su Laboratorio Antimalware PandaLabs este ataque masivo de Phishing.

Para quienes no estén familiarizados o no conozcan el significado de este término, aquí lo tienes:

Phishing es uno de los métodos utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como contraseñas, información financiera o de servicios de la victima.

 

El estafador (conocido como Phisher), utiliza técnicas de ingeniería social haciéndose pasar por una persona o empresa de confianza.

Para contactar a la víctima, usa elementos como:

  • Correo electrónico.
  • Mensajes de texto SMS.
  • Aplicaciones de mensajería instantánea como WhatsApp, Facebook Messenger, entre otros.
  • Redes sociales.
  • Incluso llamadas telefónicas.

 

 

Campaña masiva de phishing ataca a usuarios de Spotify.


 

El mensaje enviado por WhatsApp a los usuarios de Spotify, trae un enlace (URL) para que el destinatario haga clic en él y acceda a la supuesta promoción.

La URL del mensaje es muy parecida a la de Spotify, sin embargo no son iguales y la mayoría de los usuarios no lo detectan.

Ya lo dice la frase: «el diablo está en los detalles«.

Al hacer clic en la URL dirige a la víctima a una «página web falsa» simulando el portal web de Spotify.

Le hace una serie de preguntas supuestamente para comprobar la veracidad del usuario y tras contestarlas, le pide iniciar sesión introduciendo su usuario y contraseña.

Si el usuario ha ingresado ambos datos, la página le indica que ha ganado una cuenta GRATIS y le pide compartir el mensaje por WhatsApp con otros 30 amigos.

 

Phishing Spotify

 

Lo que hace esa página web es guardar ambos los datos de la cuenta Spotify del usuario en alguna base de datos.

El problema no es que quien tenga los datos de esas cuentas ESCUCHE MÚSICA GRATIS, ese es el menor de los problemas.

Si no que posteriormente vendan los datos de esas cuentas premium en el mercado negro.

 

Como opera.

Con base a los resultados obtenidos por la empresa Panda Security, se obtuvo que la campaña fue diseñada principalmente para dispositivos móviles.

Si la URL es abierta en un ordenador PC o MAC, pide al usuario instalar una extensión con nombre «DarkWhats«.

Como usuario te da desconfianza un acrónimo Dark (oscuro en inglés), por lo cual lo descartas.

Pero si la abres desde un móvil, el navegador no necesita descargar esta extensión y se ejecuta automáticamente.

El engaño es más creíble y fácil de culminar desde un móvil.

 

Como identificar el ataque.

Te lo presento en forma de bullets para que lo identifiques de forma rápida y sencilla.

  • La página web falsa tiene un contador con la cantidad de cuentas gratuitas que quedan.
  • Desde que carga la página, se observa supuestamente quedan menos cuentas disponibles.
  • Lo anterior es porque otros usuarios están aprovechando la oferta (según).
  • La URL falsa del mensaje te dirige a https://spotifyus.com/es/?
  • La URL real de Spotify te dirige a https://www.spotify.com/es/
  • La diferencia entre ambas son 2 caracteres (marcados en rojo), son imperceptibles para la mayoría de usuarios.

 

¿Cómo te puede afectar esta campaña?


 

Para ejemplificarlo, imagina que te llegó ese mensaje a tu WhatsApp e hiciste clic en la URL del mismo.

Ingresaste tu usuario y contraseña para obtener la promoción.

phishing usuario

 

Con ello, los cibercriminales dueños de esas bases de datos tendrían los datos de cuenta premium Spotify.

Tu estarás pagando mensualmente tu cuenta a Spotify y los cibercriminales podría vender N veces tu cuenta a N usuarios.

Haz cuentas de cuan lucrativo podrá ser esta mega campaña…

 

Conclusiones.


 

Las prácticas fraudulentas siempre han existido en el mundo offline y en el online no es la excepción.

Dice una frase: «si es demasiado bueno para ser cierto, es muy probable que sea falso».

En internet debes tener cuidado con este tipo de mensajes phishing.

Tu celular, email o páginas web donde la estafa y el fraude es lo que tienen en común.

«Así como en la vida NADA ES GRATIS, en internet TAMPOCO todo es gratis».

 

 

Share This