Cuando las campañas de movilización de votantes parecen phishing – Krebs on Security

Cuando las campañas de movilización de votantes parecen phishing – Krebs on Security

Varios medios de comunicación advirtieron esta semana a los estadounidenses sobre una nueva estafa de phishing, que consiste en un SMS que informa a los destinatarios que aún no están registrados para votar. Después de algunas investigaciones, se descubrió que estos mensajes fueron enviados por una firma de consultoría política de California como parte de una campaña de movilización de votantes bien intencionada pero potencialmente contraproducente que tenía todas las características de una campaña de phishing.

Imagen: WDIV Detroit en YouTube.

El 27 de agosto, la filial local del Canal 4 WDIV en detroit prevenido sobre una nueva ola de mensajes de texto que, según dicen, podrían impedir que los votantes registrados voten. El artículo no explicaba cómo o por qué la estafa podría impedir que los votantes elegibles votaran, pero sí mostraba uno de los mensajes de texto asociados, que enlazaba con el sitio. tous-voto.com.

“Hemos registrado su nombre en nuestros archivos como no inscrito en el censo electoral”, le dijo por SMS. “Verifique el estado de su registro y regístrese en 2 minutos. »

Advertencias similares han sido emitidas por una estación ABC en Arizonay de una filial de NBC en Pensilvaniadonde los funcionarios electorales acaba de emitir una alerta Esté alerta a los mensajes fraudulentos provenientes de all-vote.com. Algunos encuestados que recibieron los mensajes dijeron que pensaban que era una estafa porque sabían muy bien que eran registrados para votar en su estado. WDIV incluso entrevistó a un estudiante de séptimo grado de Canadá que dijo que también recibió el mensaje de texto diciendo que no estaba registrado para votar.

Para saber si all-vote.com es legítimo, es recomendable visitar la URL principal (en lugar de simplemente hacer clic en el enlace del SMS) para obtener más información sobre la organización. Pero visitar all-vote.com lo llevará directamente a una página de inicio de sesión para un servicio en línea llamado bl.ink. Herramientas de dominio.com descubre que all-vote.com se registró el 10 de julio de 2024. Bandera roja n.° 1.

Información solicitada a las personas que visitaron votewin.org a través de la campaña de SMS.

Otra versión de esta campaña de SMS pedía a los destinatarios que verificaran su condición de votantes en un sitio llamado votowin.orgque, según DomainTools, se registró el 9 de julio de 2024. Hay poca información sobre quién administra votewin.org en su sitio web y la página de contacto conduce a un formulario de contacto genérico. Bandera roja #2.

Además, Votewin.org solicita a los visitantes que proporcionen su nombre, dirección, dirección de correo electrónico, fecha de nacimiento y número de teléfono móvil, mientras verifica previamente las opciones para suscribir al visitante a más notificaciones. Gran bandera roja #3.

Los términos de servicio de Votewin.org se refieren a una plataforma de participación de votantes con sede en California llamada VotaAmérica LLC. El mismo formulario de solicitud de registro de votantes anunciado en los mensajes de texto está disponible si uno hace clic en el enlace «verificar el estado de su registro» en voteamerica.org.

Fundador de VoteAmérica Debra Clever le dijo a KrebsOnSecurity que la entidad responsable de las campañas de SMS que informan a las personas que no estaban registradas es Laboratorios de movimientouna firma de consultoría política en San Francisco.

Cleaver dijo que su oficina ha recibido varias consultas sobre estos mensajes, que violan un principio clave de la divulgación a los votantes: nunca decirle al destinatario cuál puede ser su condición de votante.

«Esta es una de las peores prácticas», dijo Cleaver. “Nunca le dices a nadie lo que dice el expediente de los votantes, porque los archivos de los votantes no son confiables y a menudo están desactualizados. »

Contactado por correo electrónico, el fundador de Movement Labs Yoni Landau dijo que las campañas de SMS se dirigieron a «grupos subrepresentados en el electorado, jóvenes, personas que se mudan, hogares de bajos ingresos y otros, que no están registrados en nuestras bases de datos, con el objetivo de ayudar a registrarse para votar».

Landau dijo que completar el formulario en Votewin.org simplemente verifica si el visitante está registrado para votar en su estado y luego intenta ayudarlo a registrarse si no.

“Entendemos que mucha gente se sienta perturbada por estos mensajes. Probamos cientos de variaciones de mensajes y descubrimos que tenían el mayor impacto en la probabilidad de que alguien se registrara”, dijo. “Lo siento profundamente por cualquiera que haya recibido el mensaje por error, que esté registrado para votar, y actualmente estamos revisando nuestro contenido para ver si hay variaciones que puedan ser menos seguras pero igual de efectivas para generar registros legales de noticias. . »

Cleaver dijo que la campaña de SMS de Movement Labs puede haber sido incompetente, pero no maliciosa.

«Cuando se trabaja en la movilización de votantes, no basta con querer hacer el bien, hay que ser realmente bueno», dijo. “En última instancia, el resultado final de la incompetencia y la malicia es el mismo: mayor caos, menor participación electoral y daño a largo plazo a nuestra democracia. »