¿Cómo evitar el phishing en plataformas de segunda mano?
¿Cómo es posible caer y cómo reaccionar debidamente en una estafa de phishing en plataformas de segunda mano.
Comerciar con artículos de segunda mano se ha vuelto una actividad muy popular actualmente y existen gran cantidad de plataformas online que nos permiten mercadear con artículos que deseamos vender.
Como es habitual, recurrimos a Internet para hacer compras, en este caso de segunda mano. Llevamos años haciendo operaciones bancarias online y compras en diferentes tiendas online como Shein, Aliexpress, Amazon o Zara, pero también estamos familiarizados con las plataformas de artículos de segunda mano, donde compra y vende con regularidad.
Por otro lado, los ciberdelincuentes y estafadores acuden a este tipo de sitios para perpetrar sus delitos mediante phishing, ya que son frecuentados por un amplio número de usuarios.
Venta de artículos de segunda mano
Pongamos como ejemplo que disponemos de dos artículos: un cuadro y unas zapatillas deportivas. Los artículos que deseamos vender no están funcionando en otras plataformas y decidimos probar, por ejemplo, Vinted. Nos han recomendado un par de amigos probar en esta plataforma, que la utilizaban desde hace tiempo y podríamos llegar a un nuevo público interesado en los artículos. Nos decidimos finalmente, y creamos una cuenta en Vinted para subir los artículos.
En tan solo unos segundos, sorprendentemente recibimos un par de mensajes de dos personas diferentes que se muestran interesadas. Cada una de ellas en uno de los artículos que hemos puesto en venta.
La primera persona le envió a través de Vinted una captura de pantalla en la que mostraba cómo había pagado el artículo y en la que le pedía el número de teléfono del vendedor. Al mismo tiempo, el segundo comprador le pedía también su número de teléfono para proceder a la transacción tras el pago.
Comienza la estafa
Como usuarios habituales de compras online, nunca hemos sido víctimas de ninguna estafa, y de hecho, hemos sido capaces de reconocer mensajes de phishing previamente. En esta ocasión, y con la emoción y las prisas por deshacernos de los artículos, nuestro sentido de detección de estafas online falla y enviamos al segundo de los interesados nuestro número de teléfono.
Pocos instantes después recibimos dos SMS diferentes, del mismo remitente (Vinted) y el mismo texto, con la única diferencia en los últimos caracteres de la URL: “Recibir el pago y completar la venta https://sms2waw.win/XxxXxx”
Al hacer clic, somos redirigidos a una pasarela de pago, con el logotipo de Vinted en la parte superior, que le indicaba que rellenemos los datos de su tarjeta de crédito para recibir el pago. Tras rellenar el formulario, aparece un símbolo de carga, pero parece que algo va mal. Lo lógico sería pensar que puede tratarse de un problema con la tarjeta de crédito. Introducimos los datos de una segunda tarjeta de crédito.
Hilo de mensajes
Unos minutos después, recibimos dos mensajes de WhatsApp, en los que se puede leer:
– “Hola! Soy el soporte técnico de la web de Vinted/Wallapop, te ayudo a verificar tu tarjeta bancaria.”, en el primero de ellos.
El segundo de los mensajes contiene el siguiente texto:
– “Estimado vendedor, para confirmar su pedido, el sistema ha enviado una notificación de compra de prueba automática a su aplicación bancaria para confirmar que usted es titular de una tarjeta bancaria real y tiene acceso a su aplicación bancaria. La compra de prueba es una simulación y no supondrá ningún coste adicional.”
En ese momento nos damos cuenta de que no hemos recibido ninguna notificación y respondemos a los mensajes. Minutos después recibimos nuevos mensajes de WhatsApp de un número diferente:
– “Hola, soy del servicio técnico de Vinted. A continuación le indicamos lo que debe hacer para completar el proceso de recepción de su dinero. Una vez verificado y recibido el dinero, recibirá instrucciones sobre cómo enviar el producto.” ”Todo lo que tienes que hacer es esperar instrucciones.” “Puedes desconectarte del sitio, te daremos toda la información en esta sala de chat.”
El último paso: crucial
Un minuto después recibimos un mensaje SMS en nuestro teléfono con el nombre de nuestro banco en campo de: “Para verificar tu tarjeta bancaria en el sistema, debes confirmar la notificación push en la aplicación de tu banco.”
Como es lógico, abrimos la aplicación de nuestro banco y, efectivamente, hay una notificación que nos exige aprobar un importe total de 299,00€. A continuación, recibimos más instrucciones a través de WhatsApp:
– “Por favor, confirme una notificación PUSH en su aplicación bancaria por el importe: 299,00€. Tenga en cuenta que no se trata de un pago, sino de una retención de 3 segundos por motivos de seguridad; es una medida de seguridad de todos los bancos. En 5 segundos, el importe del artículo será transferido a su tarjeta. Esto debe ser confirmado! Nuestro servicio trabaja para su seguridad, todos sus datos personales están protegidos.” “Cuando haya confirmado este aviso PUSH, le ruego me lo comunique.”
Cómo reaccionar a la estafa
Este es el último momento que tenemos para reaccionar ante la estafa. El proceder ante estas situaciones debe ser el siguiente para que los estafadores no se hagan con el dinero:
- Contactar con el equipo de seguridad de Avast.
- Enviar capturas de pantalla de los distintos mensajes recibidos.
- No aceptar ningún pago y bloquear las tarjetas de crédito empleadas de inmediato.
- Denunciar a los usuarios a la plataforma, en este caso VInted.
- Denunciar los números de teléfono a WhatsApp
- Cancelar las dos tarjetas de crédito.
En palabras de Luis Corrons, Security Evangelist de Avast: “El dinero es un gran motivador, y es lo que mueve a los ciberdelincuentes. Son mentirosos experimentados y saben bien cómo jugar con los sentimientos de los usuarios en el momento oportuno para hacernos tomar decisiones irracionales que en circunstancias normales nunca tomarían”