geekzillos, el comercio de artículos usados se ha convertido en una actividad muy popular en estos días, ya que existen plataformas que le permiten hacerlo desde la comodidad de su hogar. Una de esas aplicaciones de moda, muy conocida en Europa y Norteamérica, es Vinted, un sitio web muy conocido para comprar y vender ropa de segunda mano, aunque también puedes encontrar una variedad de cosas allí. Los ciberdelincuentes y los estafadores acuden a este tipo de sitios web para cometer sus delitos debido a la gran cantidad de usuarios que los visitan. Avast, el líder mundial en seguridad y privacidad, ha advertido sobre una estafa de robo en Vinted.
“Helena” es víctima de un ataque ficticio, una joven que usa Internet con asiduidad. Ella ha hecho todas las operaciones bancarias durante años, compra regularmente en muchas tiendas en línea diferentes, desde Shein o Aliexpress hasta Amazon o Zara, y conoce las plataformas de ahorro donde a menudo compra y vende. Tenía algunas cosas que no se vendían en otra plataforma, así que decidió probar Vinted el fin de semana pasado. Amigos que han usado la aplicación durante mucho tiempo se la recomendaron y dijeron que le permitiría a Helena llegar a nuevas audiencias que podrían estar interesadas en las dos cosas que quería tirar: una pintura y un par de zapatos.
Demasiado bueno para ser verdad
Creó su cuenta en Vinted y subió los dos artículos. Se quedó realmente sorprendida y emocionada cuando en cuestión de segundos recibió un par de mensajes de dos personas diferentes que estaban interesadas en uno de los artículos cada una. La primera persona le envió a través de Vinted una captura de pantalla en la que mostraba cómo había pagado el artículo y en la que le pedía el número de teléfono del vendedor. Al mismo tiempo, el segundo comprador le pedía también su número de teléfono para proceder a la transacción tras el pago.
Previamente, Helena nunca había sido víctima de ninguna estafa, de hecho, había sido capaz de reconocer mensajes de phishing. Sin embargo, esta vez la emoción y las prisas (ocuparse de las dos ventas al mismo tiempo) traicionaron su sentido de detección de estafas. Y envió su número de teléfono.
URL extraño…
Momentos después, recibe dos mensajes de texto diferentes del mismo remitente (Vinted) con el mismo texto, la única diferencia es el último carácter de la URL:
Recibir el pago y completar la venta_ https://sms2waw.win/XxxXxx
Después de hacer clic, se dirige a Helen a una pasarela de pago con el logotipo de Vinted en la parte superior y se le pide que complete los datos de su tarjeta de crédito para recibir el pago. Después de completar el formulario, aparece un símbolo de carga, algo parece estar mal. Helena piensa que esto puede ser un problema con su tarjeta de crédito e ingresa la información de otra tarjeta. Minutos después, recibió una serie de mensajes vía WhatsApp.
Ella respondió que no había recibido ninguna notificación. Después de unos minutos, recibirá un nuevo mensaje de WhatsApp de otro número.
Te recomendamos: Recomendaciones de ciberseguridad de Avast para proteger el Wi-Fi
Un minuto después recibe un mensaje SMS con el nombre de su banco en el campo de:
Para verificar tu tarjeta bancaria en el sistema, debes confirmar la notificación push en la aplicación de tu banco.
Helena abrió la aplicación de su banco y, efectivamente, había una notificación que tenía que aprobar por un importe total de 299 euros. A continuación, recibió instrucciones adicionales a través de WhatsApp.
En ese momento Helena decidió ponerse en contacto con el equipo de Avast y envió capturas de pantalla de los distintos mensajes que había recibido. Se le informó de que no aceptara ningún pago y que bloqueara sus tarjetas de crédito de inmediato (una sencilla operación de 2 clics, mediante la aplicación de su banco). Denunció a los usuarios a Vinted, los números de teléfono a WhatsApp y canceló sus dos tarjetas de crédito. Afortunadamente, los estafadores no desviaron dinero de ninguna de ellas.
“El dinero es un gran motivador, y es lo que mueve a los ciberdelincuentes. Son mentirosos experimentados y saben bien cómo jugar con los sentimientos de los usuarios en el momento oportuno para hacernos tomar decisiones irracionales que en circunstancias normales nunca tomarían”.
Luis Corrons, Security Evangelist de Avast.