Pablo Grueso, CEO de la consultora tecnológica TecnoFor publicaba ayer en Twitter un hilo que comenzaba así: "Acabo de ser testigo de la más sofisticada estafa online que he visto hasta ahora". A continuación, Grueso relataba su reciente experiencia en Vinted, detallando paso a paso cómo este usuario cayó en la trampa de los estafadores.
Todo comenzó cuando el usuario en cuestión, prácticamente recién llegado a la plataforma, puso una prenda a la venta en Vinted. Un paso sencillo que rápidamente se complicó cuando recibió un correo electrónico procedente, supuestamente, del "Equipo Vinted".
Esto es, recibió un e-mail desde la dirección "no-replay@vinted.com" (recordemos que es posible suplantar direcciones de e-mails legítimos, aunque eso no significa que proceda de esa dirección). El e-mail simulaba recoger un mensaje interno de un comprador interesado…
…mensaje que incluye un pantallazo del móvil de dicho 'comprador' en el que se ve cómo la app de Vinted le pide el móvil del vendedor (es decir, del mencionado usuario novato).
Y aquí es donde llegamos a la parte clave de la estafa, pues además del mensaje de texto y de la captura de pantalla, el email (recordemos, supuestamente oficial) incluye un enlace que, al hacer clic en él, llevaba al usuario directamente dentro de la aplicación de Vinted… o, más bien, de una web casi perfectamente duplicada.
"Una pantalla donde no notas la diferencia, donde no puedes hacer clic en 'info' pero puedes navegar hasta la Bandeja de entrada, por ejemplo"
El vendedor, confiado de que está operando dentro de la propia plataforma de Vinted, 'completa' sus datos introduciendo su número de teléfono… de tal forma que la información le llega directamente al ciberestafador que le envió el email en primer lugar. Y ahora éste, disponiendo del número de su víctima, le remite un SMS (de nuevo, supuestamente procedente de Vinted).
En dicho SMS se informa al usuario/víctima de que, para verificar su tarjeta de crédito, "le harán el típico cargo virtual que luego anulan..."… una práctica comúnmente utilizada para confirmar la autenticidad de una tarjeta, con la particularidad de que esta vez "el cargo es de 500€".
Otro usuario, afectado también por la estafa, amplía la información sobre dicho SMS:
"Una de mis hijas puso a la venta algunas cosas, era la primera vez y fue como si de pronto se lo quisieran comprar todo. Lo siguiente fue lo que describes, mensaje dentro de la app para poner el móvil y SMS para poner los datos de la tarjeta".
Es decir, una estrategia de phishing de manual en dos tandas, suplantando a Vinted, para proporcionar a los estafadores nuestros datos personales, primero, y nuestros datos financieros, después. Y, además, cuando nos llegue el aviso de autorización del supuesto cargo anulable a Vinted, la víctima del timo lo autorizará porque cree que es legítimo y que se lo devolverán. Ay, inocente.
Resultado y datos a tener en cuenta para no caer tú mismo
¿Resultado de toda esta historia? 500 euros menos, y el artículo por el que la víctima se registró en Vinted seguirá sin vender porque nunca hubo un comprador interesado. Recuerda, siempre, tener en cuenta estos datos:
- Asegúrate de que cualquier dato que introduces en una app lo estés haciendo, realmente, en el dominio oficial de la app, no sólo en una web "que se parece".
- Para facilitar lo anterior, nunca accedas a las plataformas a través de los enlaces de un tercero (incluso si parece ser tu verdadero interlocutor): accede tú mismo a la web/app y busca la sección en cuestión.
- Recuerda que, si introducir un dato es necesario para operar en una plataforma de compraventa, ésta misma te habrá advertido de ello durante el registro. No te llegará un mensaje a posteriori.
- Hazte algunas preguntas obvias: "¿Para qué gastarían dinero en mandar SMS cuando puedes mandar una notificación a la app móvil?" o "¿Por qué le iba a pedir Vinted el número del vendedor… al comprador?".
En Genbeta | Phishing: qué es y diferentes tipos que existen
Ver 4 comentarios