Los ciberestafadores están constantemente actualizando sus timos para poder pillar a sus víctimas desprevenidas, y tradicionalmente hacen uso para ello de los servicios y aplicaciones más populares. Panda Security está alertando de una nueva estafa que está circulando por la app de productos de segunda mano Wallapop, que bien es aplicable a cualquier otro servicio de compraventa similar. El objetivo es robar datos bancarios y de las cuentas corrientes de las víctimas que derivan en futuros robos de dinero a través de las cuentas, por lo que solicitan que se extreme la precaución.
El problema añadido de esta estafa es que es “extremadamente sencilla” de realizar, según apuntan los especialistas.
En primer lugar, los atacantes investigan a las potenciales víctimas. Y es que no escogen a cualquiera. Para esta estafa en concreto, los estafadores localizan a usuarios que están vendiendo o comprando por primera vez.
De esta manera, se aseguran de que a estas personas no les van a resultar extraños los acontecimientos posteriores.
Una vez que el atacante detecta a un usuario novato en la app que vende un producto, se pone en contacto con él, interesándose por el producto en venta. Para ello, inicia una conversación a través del chat de la aplicación, tratando de mostrarse amable y regateando el precio, como suelen hacer los usuarios en la app.
Hasta aquí todo parece normal.
Una vez que se acuerda el precio final, el atacante pide al vendedor que se haga cargo del envío. Y en este momento es cuando comienza el ataque.
El estafador vuelve a escribir a la víctima, y le indica que no ha configurado bien el registro en la app, y por ello no puede hacer el pago.
En ese momento, le pide a la víctima la dirección de correo electrónico.
Poco después, la víctima recibe un e-mail en esa dirección, que parece provenir de Wallapop. En el correo se indica que el sistema ha reservado con éxito el artículo para la venta, y que para proceder a la venta tiene que hacer clic en un enlace.
Si accede, llegará a una página web que simula ser un formulario de finalización de pedido de Wallapop, con aspecto de pertenecer a la compañía. Pero nada más lejos de la realidad.
Ese sitio web solo está haciéndose pasar por la aplicación, se trata de un caso de phishing (suplantación de identidad).
Los campos del formulario solicitan rellenar la contraseña y confirmar los datos de la tarjeta de crédito para efectuar los pagos, incluyendo número, fecha de caducidad y código CVV.
Si se rellena y envía, los datos estarán en poder del estafador.
Ojo a los detalles: evitar caer esta y otras estafas en aplicaciones como Wallapop
Este es un ejemplo más de las estafas y timos que se están multiplicando en este tipo de aplicaciones, basadas en el desconocimiento o demasiada confianza por parte de los usuarios.
“El phishing está tan bien perpetrado que es realmente difícil advertir que el remitente realmente no es un mensaje automático de la aplicación”, apunta Hervé Lambert de Panda Security. Sin embargo, lo que hay que tener en cuenta es que estas “apps nunca hacen este tipo de comunicaciones”, señala Lambert, y “siempre que alguien nos pida datos personales o bancarios, hay que desconfiar”.
En el caso del phishing, es importante sospechar de comunicaciones que lleguen por correo electrónico o cualquier otro servicio de mensajería. Si llegamos a acceder a enlaces en e-mails, es importante revisar con detenimiento la URL a la que nos lleva, para verificar que es la legítima y pertenece a la compañía.
Lo más aconsejable siempre es verificar mediante otro medio (revisando la web oficial o poniéndose en contacto con el servicio directamente) y acceder nosotros mismos a la web oficial tecleando la URL en el navegador, en lugar de a través de enlaces.
