No te regalan un Rolex, es el último timo de WhatsApp

Las campañas de phishing suelen distribuirse por una gran variedad de medios. El email suele ser el más común, pero también encontramos ataques que se distribuyen por redes más cercanas como es el caso de WhatsApp. Ahora, un nuevo ataque te dice que tienes la oportunidad de conseguir un reloj Rolex gratis, pero se trata de phishing en WhatsApp.

Este ataque ha sido alertado por Panda Security. El mensaje que está distribuyéndose por las aplicaciones de mensajería muestra un enlace con una vista previa en la que se afirma que se regala un Rolex gratis como celebración del centenario de la marca, a pesar de que ésta fuera fundada en 1905 y su centenario fuera en 2005.

Web falsa que promete regalar un Rolex

Los hackers han puesto un gran empeño para llevar a cabo este ataque. Tanto es así, que la web es tan real que ha conseguido saltarse a la gran mayoría de antivirus del mercado. Para ello, cuenta con certificados SSL de seguridad para contar con HTTPS. Además, si se escanea el dominio en VirusTotal, sólo un antivirus lo detecta como malware.

Al entrar en la web, aparece una web con interfaz móvil, lo cual tiene sentido porque el ataque está hecho para distribuirse a través de WhatsApp y la mayoría de usuarios lo van a abrir en un móvil. A partir de ahí, se muestra un cuestionario de 4 preguntas sencillas, como si conoces Rolex, qué edad tienes, qué opinión tienes de la marca, y si recomendarías el reloj a amigos. Si respondes a las preguntas, aparecen tres «intentos» para conseguir el regalo.

En uno de ellos siempre acaba tocando el reloj, un Rolex Submariner, valorado en 37.700 euros. Para «recibirlo», se dice que hay que enviar el enlace a 5 grupos o 20 amigos de WhatsApp para que conozcan las promociones. Posteriormente hay que compartirlo, y después de ello ya nos pide datos personales para recibir el regalo, el cual no recibiremos nunca. El que sí recibirá nuestros datos será el atacante, que los puede usar para todo tipo de ataques. La web también introduce cookies que recogen el perfil de cada persona que entra en la web.

Busca obtener tus datos y los de tus contactos

Esta web es una copia clara de otra web de phishing que se ha dado en otros países. En Estados Unidos ya han conseguido recopilar los datos de 55.000 personas con este ataque, mientras que todavía desconocemos el alcance en España, aunque ya habrían caído cientos de personas. Para darle un aire de legitimidad, aparecen comentarios falsos afirmando haber recibido el regalo, con otros comentarios de gente quejándose porque no les ha tocado nada en el sorteo para que parezca más realista. Los textos se notan que están traducidos con un traductor, ya que cuentan con algunos fallos de lenguaje.

Por tanto, hay que tener cuidado a la hora de pinchar los enlaces que nos pasan por WhatsApp, y desconfiar de cualquier tipo de sorteo que no venga de tiendas oficiales o de las cuentas oficiales de las propias marcas en redes sociales como Instagram o Twitter.