sábado, octubre 31, 2015

Y tu dinero se fue a las nubes por fiarte de esa chica en Wallapop

En el mundo del Fraude Online existen multitud de variantes. Desde las bandas organizadas del cibercrimen que son capaces de competir entre ellas por el control de las víctimas en guerras de bots, hasta el menudeo más insospechado para robar 10 USD a una víctima, una cuenta de Steam para comercializar con ella o robarle los objetos de un juego, o estafas clásicas como las de cambiar las notas de la Universidad

Figura 1: Y tu dinero se fue a las nubes por fiarte de esa chica en Wallapop

Cualquier dinero extra puede ser bueno para alguien con mucho tiempo y poco de lo primero. En este caso os traigo la historia de uno de los lectores con uno de estos personajes que se dedica a robar tarjetas de crédito a través de Wallapop.

Una oferta que no puedes rechazar

El comienzo de la historia es tan sencillo como crear un perfil en la red y poner algún objeto llamativo para su venta. En este caso, el usuario se llama "Paula" y supuestamente está en Getafe en la Comunidad de Madrid, pero como se puede observar aún no ha vendido ningún objeto, por lo que podríamos decir que su Karma o la confianza en su perfil debe ser ya pequeña. A la izquierda se ve cómo tenía a la venta un FIFA 16 para PlayStation4 por 40 €.

Figura 2: A la izquierda vende el FIFA 16 PS4, luego un iPhone 6S Plus regalado

A la derecha se puede ver como este usuario, después de la conversación que os voy a narrar, decidió retirarlo de la venta y poner su fantástico iPhone 6S Plus (que debe rondar los 900 o 1.000 €) por un increíble precio de 380 €. Toda una oferta a la que muchos despistados pueden sentirse atraídos. 

El devenir de los hechos

El protagonista de nuestra historia, convencido del precio y teniendo en cuenta que Getafe (Madrid) no le pillaba lejos, decidió intentar quedar con el comprador y pagarle el FIFA 16. Por desgracia, ante esta petición el vendedor alegó que se había mudado a Barcelona. No pasa nada. Nuestro protagonista tiene amigos en Barcelona así que propuso quedar en Barcelona pero... el vendedor está en Badalona, un poco más retirado y con menos posibilidades de que el comprador tuviera allí a un amigo.

Figura 3: La negociación hasta llegar al Google Doc

Al final, el comprador le dice que lo mejor es que se lo mande, que no se preocupe que es como un pago contra-reembolso, solo tiene que rellenar un formulario en una Pasarela de Pago Seguro, en el que se usa la imagen de un banco que he tapado, y donde hay que introducir los datos de su tarjeta de crédito, pero poniendo que el pago es de 0 €. Por supuesto, la pasarela no es más que un simple formulario de Google Docs.

Figura 4: El formulario para hacer un phishing a una pasarela de pago bancaria

Este es el phishing más guarro que he visto en mucho tiempo. Tanto, que hasta el formulario tiene la alerta de Google Docs puesta de que no se deben enviar usuarios y contraseñas. Claro, no se están enviando usuarios y contraseñas, solo se están enviando los datos de la tarjeta de crédito, así que no debe haber ningún problema con ello. 

Corolario y cierre

Lo peor de todo es que seguro que le ha funcionado en alguna ocasión este truco, y por eso sigue con ello, así que si detectas a alguno haciendo esto, denúncialo al sitio, denúncialo al banco que suplante, denúncialo a los cuerpos de seguridad y si no te hace caso nadie, pásamelo a mí que ya lo reporto yo a quién sea necesario.

Saludos Malignos!

17 comentarios:

  1. desde la perspectiva de un usuario normal, con master en enteradillo, asusta todo ese entorno pirata. Y lo malo que va en aumento...
    Un abrazo y gracias por tu colaboración, y que progreses mucho desde tu lado oscuro de la fuerza, para potenciar nuestro lado luminoso. Suerte

    ResponderEliminar
  2. Badalona no está al lado de Barcelona, está tocando, del centro de Barcelona se llega al centro de Badalona en menos de media hora en metro. Ya el hecho de poner esa excusa para no quedar con alguien que vive en Barcelona debería ser motivo de sospecha de que no quiere quedar de ninguna manera y que algo raro hay.

    ResponderEliminar
  3. Esto me suena a lo de los indios de Microsoft pero en cutre.....

    ResponderEliminar
  4. https://youtu.be/cJnXMYy3Q2E

    ResponderEliminar
  5. https://youtu.be/cJnXMYy3Q2E

    ResponderEliminar
  6. Muchas veces pillas estos timos se pillan con más facilidad cuando finges ser dos interesados distintos. Si es un timo enseguida saltan contradicciones entre lo que dicen a un interesado y lo que le dicen al otro.

    Sobre denuncias a la policía y tal... pues idealmente es lo que procede, pero en realidad el procedimiento no permite presentar denuncias anónimas, y las que metes por internet en los formularios de denuncias anónimas, al menos en mi experiencia particular, no sirven de nada.

    En mi caso pillé a unos rumanos con el timo del alquiler veraniego de una casa que no tienen, anunciado en distintos portales online. Me mandaron DNI's falsificados, notas del registro de la propiedad falsificadas, etc... Me personé en la comisaría y la única opción que me daban era esperar (un par de horas) turno para presentar denuncia con todos mis datos, domicilio donde vivo con mi familia, etc...

    Ellos no podían actuar "de oficio" sin denuncia por mi parte, a pesar de que la falsificación de documentos oficiales (DNI, notas registros de la propiedad,...) ya sea por sí mismo la comisión de un delito.

    Como no me hacía "ilusión" que estos rumanos accedieran a mi datos como denunciante, por supuesto la denuncia no la presenté. Rellené el consabido formulario de la web de la Policía Nacional junto con un enlace para bajarse el archivo con toda la historia, documentos falsificados, enlaces de distintos portales con el mismo alquiler, correos intercambiados, etc.... A fecha actual (de esto hace varios veranos) el archivo que subí a la nube aún no ha sido accedido...

    Por supuesto, los anuncios de alquiler de la banda continuaron el resto del verano puestos. Buscando por las direcciones de correo electrónico que usaban, encontré una página donde alguien denunciaba la estafa que había sufrido a manos de esta gente hacía unos dos o tres años antes. En los comentarios se acumulaban de años posteriores las quejas de afectados que tras ser estafados, buscando por dirección de correo encontraban la misma página donde plasmaban su impotencia y desazón al ver que el tema ya venía de antes...

    Moraleja: Cuida el que no te estafen porque nadie va a cuidarte por ti... aunque quiera hacerlo.

    ResponderEliminar
  7. Jajajajajajajaja que risa cuando leí: "el phishing más guarro"

    ResponderEliminar
  8. Caray, hace pocos días vi en Facebook una publicación compartida por un par de contactos míos, me parece que del GDT de la Guardia Civil, que alertaba de estas "pasarelas de pago" con formularios alojados en Google.

    En fin, quizá el aviso genérico del formulario debería añadir en el futuro el término "datos bancarios". :P

    ResponderEliminar
  9. Escribes cojonudamente pero hoy se te ha ido con "reemvolso" jeje. Un saludo

    ResponderEliminar
  10. Ellos no podían actuar "de oficio" sin denuncia por mi parte [...] Como no me hacía "ilusión" que estos rumanos accedieran a mi datos como denunciante, por supuesto la denuncia no la presenté

    Y gracias a es marabillosa combinación, muchos delitos quedan sin perseguir en España.

    ResponderEliminar
  11. Si emplean un formulario en Google Docs, si Google tiene un mecanismo para detectarlos y alertar en el mismo del fraude.... hay un solo motivo: La gente pica.

    Hace unos años un conocido me llama por teléfono preguntándome porque Wenster Union le había mandado un email alertándole de una transferncia millonaria a su favor, y que para recibirla tenía que abrir el programa adjunto.... me llamó porque tras ejecutar el adjunto, no se le abría ninguna ventana para introducir sus datos personales....

    ResponderEliminar
  12. Hola, precisamente, estaba al tanto de esto y estaba intentando sacar la mayor información posible de esta oferta, si quieres te puedo enviar las capturas de pantalla de la conversación.

    Saludos.

    ResponderEliminar
    Respuestas
    1. Si tienes información sobre esta gente te pediria que me la facilitases son 787,00 € lo que me han robado

      Eliminar

  13. Ahora mismo podeis verlo con un iphone 5s por 180€ en wallapop también, facilita también un enlace a google docs usuario paula R.

    http://goo.gl/forms/OvjSCE2PNQ





    ResponderEliminar
  14. Yo me llego a encontrar un formulario de esos, ya sea porque alguien lo haya publicado en un foro, y lo bombardeo con datos falsos, vaya...

    ResponderEliminar
  15. Hola buenos días sabeis alguna información de eSta persona

    ResponderEliminar
  16. ¿pero como sacan el dinero de la cuenta? Sabrán los datos de acceso, pero se tiene q confirmar la operación para sacar dinero ¿no?

    ResponderEliminar