La compañía Panda Security ha revelado una nueva estafa a través de la plataforma de compraventa Wallapop en el que los ciberdelincuentes obtienen los datos de la cuenta de los nuevos usuarios de la aplicación.
En el momento que dos personas llegan a un acuerdo para venderse el producto, salta la opción de enviarlo en vez de tener que quedar en persona, es decir, el pago se hace mediante una transacción. Debido a esto, el ataque se produce cuando los delincuentes informáticos encuentran a personas que están realizando esta acción por primera vez y se aprovechan de ello.
Uso de una conversación normal
De esto es precisamente de lo que se aprovechan a la hora de realizar la estafa, ya que puede que no levante sospechas, puesto que simplemente es un usuario que se encuentra con otro y quieren tener una conversación para intercambiar un producto. Es después de esto cuando, si el estafador detecta que la persona lleva poco tiempo utilizando la aplicación o es la primera vez que realiza un envío, intentará manipularla.
Tras detectarlo y conversar con él, el ciberdelincuente hará dudar al vendedor sobre que no ha hecho correctamente el registro de su cuenta y que por ello no le permite hacer el pago, además de hacerle creer que le falta introducir de manera correcta el correo electrónico con el que se ha registrado y pidiéndoselo a la víctima. Todo ello simulando ser una persona amable, normal y corriente.
Obtención del correo electrónico y web falsa
Tras fiarse de la persona y lograr esa atmosfera de relativa confianza, puede que el estafador le pregunté con toda la buena intención sobre el correo que está utilizando para verificar si tiene algo mal redactado, por ejemplo.
Este sería un ejemplo de un posible diálogo, según Panda Security.
ESTAFADOR: “como debes ser nueva en la app, no has hecho bien el registro y no puedo hacer el pago […], Parece que no has puesto tu email y desde Wallapop no pueden cargarlo en mi tarjeta. ¿Con qué email estás registrada?”
USUARIO: m*****.****@gm**.com
ESTAFADOR: ¡Qué raro! Voy a volver a intentarlo. Ahora te digo.
En el momento que el usuario se lo pone por escrito, le llegará a la bandeja de entrada de su correo un supuesto mensaje de Wallapop indicando que ‘el sistema ha reservado con éxito el artículo para la venta’ y que para confirmarlo debe hacer clic en el botón que contiene, según explica la compañía.
Dicho botón lleva a una página prácticamente exacta al verdadero sitio de la plataforma en el que debe confirmar su dirección de correo electrónico, contraseña, confirmación de tarjeta de crédito…
Pero claro, se trata de un sitio para lograr toda la información bancaria del usuario. Por ello, siempre debemos desconfiar cuando alguien nos pida datos personales o bancarios, incluso si se trata de una web oficial, tenemos que asegurarnos bien.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios