Panda Security ha detectado una nueva estafa a través de Wallapop en la que los ciberdelincuentes se hacen con los datos de la cuenta corriente de sus víctimas, por lo general usuarios nuevos de la aplicación.
El ataque es extremadamente sencillo. Por medio de una investigación de ingeniería social, los ciberdelincuentes localizan a personas que están vendiendo productos por primera vez en la conocida aplicación de venta de segunda mano, o bien a usuarios que están utilizando por primera vez los envíos dentro de la plataforma.
Es el caso de María (nombre ficticio), una estudiante madrileña de 16 años que puso a la venta algunos elementos del mobiliario de su habitación para costearse sus vacaciones de verano con unas amigas.
La madre de María trabaja en un entorno laboral muy próximo al de la ciberseguridad y conoce bien los riesgos de ciberacoso y posibles estafas a adolescentes a través de aplicaciones en las que se puede socializar con otras personas. Tanto es así que la propia progenitora ayudó a su hija a establecer ciertas medidas de seguridad básicas, como: no publicar una foto de la menor para evitar que potenciales ciberdelincuentes o ciberacosadores puedan intuir su edad; o evitar que las fotos de los productos en venta permitan ver información personal como el colegio en el que estudia o los alrededores de su casa para que nadie encuentre la ubicación de su domicilio.
Al rato de publicar los productos, se puso en contacto con ella a una persona muy interesada en comprar varios de sus muebles. El usuario, que se presentó con el nombre de Álvaro (también usaremos un nombre ficticio. Aunque es importante recalcar que era un nombre “normal y corriente”) se mostró “muy amable y simpático” al conversar con ella en través del chat de la aplicación y, en ningún momento le instó a salir de la app para hablar por WhatsApp.
“Este dato es importante, porque la madre de Mariquita le había indicado previamente el riesgo que tiene salir de la aplicación para comunicarse con desconocidos, porque es aquí donde suelen llevarse a cabo muchas de las estafas y extorsiones” , enfatiza Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Así, el ciberdelincuente Álvaro, se interesó por el estado de los productos e incluso llegó a regatear un poco los precios. Es decir, “el proceso de compraventa se produjo dentro de las operativas habituales entre todos los usuarios que están acostumbrados a transaccionar dentro de esa aplicación”, apunta Lambert.
Una vez que María y el, todavía, “amable” ciberdelincuente acordaron un precio final y el hecho de que ella podía hacerse cargo del envío, fue cuando realmente se llevó a cabo el ataque de phishing. Pocos minutos después de que María pusiera el producto como “reservado” en Wallapop, Álvaro volvió a escribirle por el chat.
Acto seguido, la menor recibe un email en su correo electrónico que emula ser enviado por Wallapop, en el que se indica que “el sistema ha reservado con éxito su artículo para la venta” y que para confirmar el pedido sólo es necesario hacer clic en el botón de abajo. El sistema la redirigirá automáticamente a la página de finalización del pedido.
“El phishing está tan bien perpetrado que es realmente difícil advertir que el remitente no es un mensaje automático de la aplicación, aunque este tipo de apps nunca realiza este tipo de comunicaciones”, apunta Hervé Lambert de Panda Security.
Cuando hace clic en el enlace, su navegador la redirige a una página web que emula casi a la perfección el sitio legítimo de Wallapop en Internet, donde es necesario rellenar unos campos como ‘confirmar correo electrónico’, ‘restablecer contraseña’ y ‘confirmar tus tarjetas de crédito para efectuar los pagos’. “De esta forma, los ciberdelincuentes pueden hacerse con la numeración completa de la tarjeta, la fecha de caducidad y el código CVV”, señala Hervé Lambert.
Afortunadamente, María no tiene tarjeta de crédito y le pedirá los datos a su madre. Ésta desconfía de la operativa, porque por su profesión sabe que no es habitual recibir pagos en una tarjeta de crédito. Lo lógico es recibir un cargo en la cuenta.
La madre investiga un poco la página y opta por desconfiar de la operativa. Y, en lugar de rellenar los datos solicitados, acude a la página web Wallapop, en este caso la legítima, y comprueba que el sitio al que están redirigiendo a su hija es un claro caso de phishing.
“Afortunadamente, la madre de María está familiarizada con las estafas de ingeniería social y de phishing. Por eso, logró que no estafaran a su hija, robándole las llaves de su tarjeta de crédito. Sin embargo, si los ciberdelincuentes hacen este tipo de ataques, es porque tienen una elevadísima tasa de éxito.Por desgracia hay cientos de Marías al mes que sucumben ante este tipo de ataques.Por eso, siempre que alguien nos pida datos personales o bancarios, hay que desconfiar”, apostilla Hervé Lambert, Global Consumer Operations Manager de Panda Security.
.- Este es un artículo de Tecnonews.info y AMIC para Menorcaaldia.