Los sorteos de Instagram son una forma común para las marcas de darse a conocer a cambio del regalo de algún producto o premio, pero los cibercriminales han comenzado a suplantar su identidad para contactar con los participantes y hacerse con sus datos personales e incluso con sus cuentas bancarias.
Así lo ha alertado la compañía de ciberseguridad Panda Security, que ha detectado ataques de 'phishing' de cibercriminales que crean perfiles de Instagram prácticamente idénticos a los de las marcas que llevan a cabo concursos en la red social, normalmente con una letra o un símbolo que los diferencia pero que no es fácil de apreciar.
Además, los atacantes utilizan los mismos logotipos que las empresas para sustentar sus tapaderas y cargan en su 'timeline' las últimas fotos y publicaciones de la compañía a la que están suplantando la identidad.
Con el concurso como gancho, los ciberdelincuentes se ponen en contacto con los participantes del sorteo para comunicarles que supuestamente han resultado vencedores, y les siguen para poder escribirles por privado.
En los mensajes directos, les envían un enlace a una página web de 'phishing' con formularios de contacto para recabar datos personales como la dirección física, el correo electrónico, sus contraseñas o su fecha de nacimiento. Incluso llegan a pedir datos bancarios para hacer algún tipo de transferencia.
No obstante, también se han detectado 'landing pages' -páginas a las que llega tras pinchar en un enlace- en las que, una vez rellenado el formulario, los 'hackers' dirigen el tráfico a páginas en las que se les inserta un código malicioso para hacer seguimiento de su navegación por Internet.
En el mejor de los casos, este 'malware' solo indica que un usuario es, potencialmente, una presa fácil para futuros timos. En el peor, pueden inyectar un 'ransomware' con el que secuestrar la identidad digital del internauta.
Panda ha recomendado a los participantes en sorteos de Instagram prestar atención a algunos detalles para descubrir estos timos, como si las marcas les meten mucha prisa en sus mensajes para no perder los premios, o si el lenguaje no es correcto (por ejemplo, mezcla tú y usted o incluye errores gramaticales).
Asimismo, la compañía aconseja utilizar herramientas de ciberseguridad, de manera que incluso si los 'hackers' engañan a la víctima, cuenten con protección frente a las páginas web poco fiables.