Un nuevo engaño suplanta la identidad de Mercado Libre y Mercado Pago para robar credenciales de acceso, datos de tarjetas de crédito y el documento de identidad.
El anuncio en la red social va dirigido a clientes platinum de distintas tarjetas de crédito y ofrece una supuesta promoción para acceder a una supuesta tarjeta de crédito exclusiva Mercado Pago Black de la conocida plataforma de pagos.
¿Cómo funciona?
La compañía ESET detectó esta campaña de ingeniería social con phishing que se distribuye a través de anuncios de Facebook en la que se suplanta la identidad de Mercado Libre con el objetivo de robar datos e información sensible de las potenciales víctimas.
Lo primero que debería llamar la atención es que el sitio al que se invita a acceder no se trata de un dominio oficial de Mercado Pago. No obstante, si el usuario se interesa en la oferta de la Mercado Pago Black, dependiendo del dispositivo desde el cual acceda al enlace, se encontrará con distintas pantallas.
En el caso de utilizar una computadora, se direcciona al usuario a acceder a través de la aplicación de su celular. Al acceder desde el dispositivo móvil al falso sitio, la campaña fraudulenta comienza a recolectar datos de las víctimas. Primero solicita ingresar la dirección de correo o nombre de usuario y la contraseña para acceder a la plataforma.
¿Qué datos solicita la campaña?
Tras ingresar las credenciales, bajo el argumento de validar la identidad del usuario, se solicita ingresar todos los datos de la actual tarjeta de crédito. Luego, solicita una foto del frente y dorso del documento de identidad de la víctima. Lugo de recopilar todos estos datos de la víctima, el sistema redirecciona a una página de Facebook en la que se suplanta la identidad de Mercado Libre.
«Con los datos obtenidos a través de la campaña, los ciberdelincuentes no solo pueden realizar transacciones con la tarjeta de crédito o comercializar esta información, sino que tienen en su poder las herramientas necesarias para realizar estafas de suplantación de identidad. Inclusive, pueden contratar productos crediticios en billeteras digitales o bancos online, los cuales pueden ser activados en línea utilizando como forma de validación el envío de la información recolectada; como la foto del documento.», comentó Luis Lubeck, especialista de seguridad Informática de ESET Latinoamérica.
La empresa que reportó el incidente ya alertó a MercadoLibre sobre la existencia de esta campaña. En caso de haber caído en el engaño lo ideal es seguir los mismos pasos que en los casos de ser víctima de una filtración. También es recomendable monitorear los movimientos de la tarjeta de crédito afectada, y también consultar periódicamente que no hayan solicitado productos bajo tu nombre, informó el sitio altadensidad.
