Los ciberdelincuentes están dispuestos a aprovechar cualquier oportunidad que les permita defraudar a las personas. Por ello es que utilizan la popularidad de las redes sociales, como Instagram, para encontrar a sus víctimas.
Como es bien sabido, los atacantes tienen diferentes métodos para lograr su cometido, sin embargo, los especialistas en ciberseguridad, encontraron recientemente que en Instagram están haciendo un trabajo de monitoreo para localizar a sus potenciales víctimas.
Cómo cometen fraude
De acuerdo con ESET, compañía de ciberseguridad, los delincuentes monitorean los comentarios en perfiles de entidades financieras o empresas verificadas de Instagram, esperando que un usuario haga un comentario o arrobe a un banco para pedir ayuda.
De ese modo logran identificar a usuarios que están interesados en recibir ayuda a través del perfil de un banco o empresa. Al ver esto, rápidamente los contactan a través de mensajes directos haciéndose pasar por un representante de atención al cliente.
El objetivo final es obtener información personal de la víctima para obtener acceso a su cuenta bancaria y extraer sus fondos. ESET compartió un caso similar y reciente que describe cómo los estafadores están utilizando perfiles falsos.
Así cometieron el fraude
“En estos días conocimos un caso de una persona que estaba por irse de vacaciones y a la cual intentaron engañarla y obtener sus claves de acceso a su cuenta bancaria online”.
La compañía de ciberseguridad dijo que la víctima, un día antes de viajar recibió un correo legítimo de la aerolínea, en el cual se le notificaba que el vuelo había sido reprogramado para un día después. Ante esta situación, decidió contactarse con la empresa y dejó un comentario en una publicación de la cuenta oficial en Instagram con la esperanza de que pudieran asistirla y resolver algunas dudas debido al cambio de último momento en su vuelo.
A través de una herramienta de scraping, que permite monitorear comentarios y actividad de un perfil seleccionado, los estafadores encontraron a la persona que había dejado una duda en la cuenta oficial de la aerolínea y le enviaron un mensaje directo desde un perfil falso, pidiendo un número de WhatsApp para comunicarse y brindar “ayuda”.
El mensaje que le enviaron a la víctima tenía las características básicas de un mensaje generado por un bot. A pesar de tener la misma foto de perfil de la empresa legítima, la misiva fue enviada por un perfil no verificado.
La víctima, entre su desesperación no notó que la cuenta era sospechosa por no estar verificada a pesar de tener en su nombre de usuario la leyenda “oficial”, por lo que compartió su número.
A los pocos minutos le llamaron a través de una cuenta de WhatsApp Business desde lo que parecía ser un típico call center de atención al cliente. La víctima explica lo que sucedió y el falso representante le dijo que la compañía se hacía cargo de los gastos por la noche que perdería y que depositarían en su cuenta el dinero. Sin embargo, en lugar de pedirle el CBU (Clave Bancaria Uniforme), le solicitaron el número de documento y le hicieron la pregunta de seguridad que configuró en caso de necesitar recuperar el acceso a su cuenta bancaria.
En ese momento y ante el apuro por obtener esta compensación, la víctima cayó en la trampa y proporcionó todos los datos. Los estafadores estaban intentando acceder a su cuenta bancaria mientras la víctima pensaba que hablaba con un agente legítimo y que recibiría una compensación. Apenas cortó se dio cuenta lo que había pasado y se comunicó inmediatamente con su banco para bloquear los accesos.
En ese caso, al haber actuado pronto los delincuentes no lograron acceder a la cuenta, sin embargo, al tener un modus operandi establecido es posible que los delincuentes hayan cometido antes un fraude.
Por tal motivo es importante que las personas no dejen expuestas sus preocupaciones en comentarios públicos, asegurarse de ponerse en contacto con perfiles verificados, sospechar si estos lucen raros al tener pocas publicaciones, faltas de ortografía, entre otros aspectos, pero sobre todo no dar información privada que no coincida con la solicitud.