Comerciar con artículos de segunda mano se ha vuelto una actividad muy popular actualmente, ya que existen algunas plataformas que permiten hacerlo cómodamente desde casa. Una de estas aplicaciones de moda muy conocida en Europa y Norteamérica es Vinted, un conocido espacio para comprar y vender ropa de segunda mano, aunque también se pueden encontrar todo tipo de artículos. Los ciberdelincuentes y estafadores acuden a este tipo de sitios para perpetrar sus delitos, ya que son frecuentados por un amplio número de usuarios. Avast, líder mundial en seguridad y privacidad, advierte de una estafa de robo llevada a cabo en Vinted.
Simulación de lo sucedido
Helena, una joven que siempre recurre a internet. lleva años haciendo todas sus operaciones bancarias online, compra habitualmente en muchas tiendas online diferentes, desde Shein o Aliexpress hasta Amazon o Zara, y también está familiarizada con las plataformas de artículos de segunda mano, donde compra y vende con regularidad. Tenía un par de artículos que no se vendían en otra plataforma y decidió probar Vinted el fin de semana pasado.
Creó su cuenta en Vinted y subió los dos artículos. Se quedó realmente sorprendida y emocionada cuando en cuestión de segundos recibió un par de mensajes de dos personas diferentes que estaban interesadas es sus artículos. La primera persona le envió a través de Vinted una captura de pantalla en la que mostraba cómo había pagado el artículo y en la que le pedía el número de teléfono del vendedor. Al mismo tiempo, el segundo comprador le pedía también su número de teléfono para proceder a la transacción tras el pago.
Helena nunca había sido víctima de ninguna estafa, de hecho, había sido capaz de reconocer mensajes de phishing. Sin embargo, esta vez la emoción y las prisas (ocuparse de las dos ventas al mismo tiempo) traicionaron su sentido de detección de estafas. Y envió su número de teléfono.
Intento de estafa
Pocos instantes después recibió dos SMS diferentes, del mismo remitente (Vinted) y el mismo texto, la única diferencia eran los últimos caracteres de la URL:
Recibir el pago y completar la venta https://sms2waw.win/XxxXxx
Al hacer clic, Helena fue redirigida a una pasarela de pago, con el logotipo de Vinted en la parte superior, que le indicaba que tenía que rellenar los datos de su tarjeta de crédito para recibir el pago. Tras rellenar el formulario, aparecía un símbolo de carga y parecía que algo iba mal. Pensando que podría tratarse de un problema con su tarjeta de crédito, Helena introdujo los datos de otra.
Unos minutos más tarde recibió una serie de mensajes a través de WhatsApp.
Ella responde que no ha recibido ninguna notificación. Minutos después recibe nuevos mensajes de WhatsApp de un número diferente. Después recibe un mensaje SMS con el nombre de su banco en el campo de:
Para verificar tu tarjeta bancaria en el sistema, debes confirmar la notificación push en la aplicación de tu banco.
Helena abrió la aplicación de su banco y, efectivamente, había una notificación que tenía que aprobar por un importe total de 299 euros. A continuación, recibió instrucciones adicionales a través de WhatsApp.
Denunciar el intento de estafa
En ese momento Helena decidió ponerse en contacto con el equipo de Avast y envió capturas de pantalla de los distintos mensajes que había recibido. Se le informó de que no aceptara ningún pago y que bloqueara sus tarjetas de crédito de inmediato (una sencilla operación de 2 clics, mediante la aplicación de su banco). Denunció a los usuarios a Vinted, los números de teléfono a WhatsApp y canceló sus dos tarjetas de crédito. Afortunadamente, los estafadores no desviaron dinero de ninguna de ellas.
“El dinero es un gran motivador, y es lo que mueve a los ciberdelincuentes. Son mentirosos experimentados y saben bien cómo jugar con los sentimientos de los usuarios en el momento oportuno para hacernos tomar decisiones irracionales que en circunstancias normales nunca tomarían” advierte Luis Corrons, Security Evangelist de Avast.
Esta pequeña simulación que podría estar basada en hechos reales, nos debe servir como ejemplo para tener mucho cuidado con las compras online que hacemos. Si alguna vez os pasó algo parecido, o similar, no dudeis en denunciarlo y de hacerlo más visible.