Gracias a @nullcookies por proporcionar clientes potenciales.

La mayoría de las estafas en línea dependen de dos cosas para tener éxito: un proceso quebrado u oneroso para tratar con una entidad legítima y una población objetivo desesperada. Con la inmigración, hay muchos, muchos procesos onerosos para navegar, y la mayoría de los solicitantes involucrados están al menos algo desesperados debido a los costos y los largos gastos de tiempo. El resultado es un entorno maduro para las estafas de tarjetas verdes.

Parece real, pero vino de un sitio de estafa

Officialgreencardlottery.org (que, de hecho, ninguna de estas cosas) es un gran ejemplo de cómo tomar prestado el simbolismo y el lenguaje de las autoridades legítimas, combinado con comunicaciones auténticas limitadas de esas autoridades, puede crear un entorno propicio para estafar.

El sitio está diseñado profesionalmente, hasta un logotipo falso que se aproxima al logotipo del Departamento de Estado de los EE. UU. Lo más cerca posible de la legalidad. Hay muchas llamadas a la acción urgentes, con botones rojos «Aplicar hoy» en la mayoría de las páginas y advertencias extremas sobre lo que puede sucederle si su aplicación se ingresa demasiado tarde. Pero desplazándonos hacia abajo, vemos lo siguiente:

Que dice:

La Green Card Office de los EE. UU. No está afiliada al gobierno de los EE. UU. Ni a ninguna agencia gubernamental. Puede ingresar a la Lotería de Visas de Diversidad de los EE. UU. De forma gratuita en www.state.gov entre sus fechas de registro abiertas, que normalmente comienzan a principios de octubre de 2018. No somos una firma de abogados, no proporcionamos asesoramiento legal y no sustituimos a un abogado. Este sitio proporciona un servicio de revisión y presentación que requiere una tarifa.

Por lo tanto, no solo no están afiliados al gobierno de los EE. UU., No son abogados, y por lo tanto, probablemente no saben nada sobre la ley de inmigración y no pueden brindar ayuda significativa con los problemas de la tarjeta verde.

El DNS pasivo en el sitio no revela mucho, excepto sitios adicionales usa-dvprogram [.] Info y us-dvprogram [.] Info. Retroceder hasta la última resolución de IP muestra lo siguiente:

official-dvlottery.us, official-usagcl.org, officialusagcl.org, usagc-eligibility.online, usagclmessage1.online

Después de encontrar poco interés en la infraestructura de estafa, decidimos registrarnos como posible inmigrante y ver qué servicios se ofrecían.

Después de pagar $ 129 por el privilegio de entregar cierta información personal, de inmediato recibimos una «llamada de verificación» de un hombre con acento del sur de Asia. Preguntamos repetidamente sobre el proceso, cuándo se enviaría nuestra solicitud a los funcionarios pertinentes y cómo seguir adelante. El operador respondió con una venta difícil para «actualizar» nuestra aplicación para tener múltiples oportunidades de ganar. (Así no es como funciona la lotería real)

En ningún momento se nos proporcionó información sobre el proceso real, ni el operador divulgó en absoluto lo que su compañía haría por nosotros. En función de nuestra experiencia con la llamada, el proveedor no ofrece ningún tipo de servicio, pero con mucho gusto recibirá tanto dinero como cantidades significativas de datos personales. Como una estafa en general, la calificamos como B-.

Una pregunta que a veces surge con este tipo de estafas entre los defensores es a menudo, «¿Quién podría caer en la trampa?» La respuesta es típicamente «probablemente usted». Veamos por qué.

A continuación se muestra el sitio real de la tarjeta verde en https://www.dvlottery.state.gov:

A diferencia del sitio de estafa, el real no proporciona esencialmente información sobre lo que es la lotería o cómo aplicarla. Los significados de autenticidad están limitados a un pequeño logotipo en la esquina superior izquierda. No hay orientación sobre cómo obtener más información.

Por el contrario, el sitio de estafa proporciona información básica sobre lo que es la lotería, algunas estadísticas breves de la aplicación y una marca grande e importante en todo el sitio. Si a usted, un candidato potencial, se le presentaran ambos sitios, ¿cuál de ellos se  sentiría  más auténtico? ¿Cuál elegirías si tuvieras recursos financieros limitados y solo pudieras postular una vez? ¿Qué se sentiría más complaciente si tuvieras habilidades limitadas de inglés?

Lo que está sucediendo con este sitio de estafa y el sitio del Departamento de Estado de EE. UU. Más arriba es bastante similar a lo que vemos con soporte técnico legítimo y estafadores de soporte técnico. Una entidad oficial hace un mal trabajo de comunicación con su electorado, y eso crea un vacío que los estafadores están demasiado ansiosos por llenar. Entonces, si bien hay pasos concretos que puede tomar un usuario final para mantenerse a salvo de este tipo de cosas ( ver aquí ), las grandes empresas y las agencias gubernamentales también cargan con la culpa.

En lugar de descartar a la persona por haber caído en la estafa, una solución más viable para el personal de seguridad es colaborar en toda la empresa para garantizar que las comunicaciones corporativas no dejen espacio a los estafadores para explotarlas. ¿Su boletín de marketing parece una estafa? ¿Sus empleados de soporte se autentican a pedido? ¿Pueden verificar a terceros que trabajan con usted? Todos estos son problemas solucionables que pueden evitar que al menos una parte de los usuarios sean víctimas.