Un enjambre de bots estafadores invade Wallapop: "Es bastante fácil picar"

Mensaje de uno de los bots que contactan a vendedores de Wallapop para atraerlos a una estafa vía phishing.

Wallapop, la app de compraventa de productos de segunda mano entre particulares, ha sido invadida por un enjambre de bots estafadores. Fingiendo ser personas reales, los cibercriminales se sirven de estas cuentas automatizadas para contactar con los vendedores y atraerlos fuera de la plataforma, prometiendo cerrar el trato vía email. Una vez abierta la comunicación por correo electrónico, suplantan la identidad de la empresa de envíos DHL para conseguir los datos bancarios de la víctima.

Almodóvar, último gancho de la estafa de anuncios trampa que usa a Fernando Alonso, Amancio Ortega o Pablo Motos

Almodóvar, último gancho de la estafa de anuncios trampa que usa a Fernando Alonso, Amancio Ortega o Pablo Motos

"Es bastante fácil picar", explica a eldiario.es Rodrigo, al que lanzaron el gancho esta semana, contactándole por varios artículos que ha ofertado en Wallapop recientemente. El primer paso de la estafa corre a cargo de los bots: es un mensaje a través del chat interno de la plataforma que pregunta si "el artículo sigue disponible" e insta a contactar "solo por correo electrónico", a la vez que proporcionan una dirección de email.

"Cuando les escribes a ese correo te responden esto", continúa Rodrigo:

 

Los ciberestafadores, adoptando la identidad de una interesada, afirman que están de acuerdo con el precio pero desean efectuar el pago "a través del servicio de mensajería urgente de DHL". Según su explicación, será el mismo mensajero de la compañía de envíos el que entregue el dinero y, a la vez, se lleve el producto ofertado en Wallapop. Para poder cumplir ese trámite, solicitan algunos datos como la dirección, el teléfono y el código postal de Rodrigo. "Aquí ya me olía mal pero contesté, total, no daba ningún dato bancario", revela él.

 

Es entonces cuando llega el momento clave de la estafa. La supuesta interesada responde poco después para informar de que "ha realizado el pago con éxito" y explicar al vendedor que ahora le toca a él seguir "las instrucciones del Servicio de DHL" para completar el proceso. "Efectivamente, luego en la bandeja de correo no deseado te encuentras un email de DHL", revela Rodrigo. Toda la ciberestafa va encaminada a que la víctima conteste a ese correo.

 

Siguiendo un patrón típico del phishing (estafa de suplantación de indentidad), los ciberestafadores intentan hacerse pasar por DHL y piden todos los datos de la tarjeta bancaria, incluido el código de seguridad y la fecha de caducidad. Para ello se suele recurrir a una dirección de correo electrónico que se parezca lo más posible a las que emplea el servicio al que se quiere suplantar, o bien directamente a una cuenta de la empresa hackeada. En este caso el fraude no se vale de armas demasiado profesionales, puesto que usa una cuenta de gmail.

Cualquiera que obtenga los datos bancarios que solicitan los ciberestafadores podrá hacer pagos por Internet empleando esa tarjeta, aunque no esté en posesión de ella físicamente. "Yo creo que se la han tenido que colar a más de uno. En Wallapop al principio se suelen poner precios altos para regatear y como estos bots te contactan en cuanto pones la oferta, la gente se calienta y piensa que lo va a poder vender por más de lo que pensaba en un principio", expone Rodrigo.

Aviso de seguridad

eldiario.es transmitió el caso de Rodrigo al Instituto Nacional de Ciberseguridad (Incibe), que este este miércoles ha publicado una alerta de seguridad dirigida a todos los usuarios de Wallapop en su Oficina de Seguridad del Internauta. "Hemos detectado que la incidencia existía, nuestro CERT [Equipo de Respuesta ante Emergencias Informáticas, por sus siglas en inglés] estaba recabando evidencias similares que habían reportado otras personas", detallan desde el organismo a este medio.

"Es un fraude recurrente en este tipo de plataformas", continúan las mismas fuentes. "Si alguien quiere adquirir alguno de tus productos a distancia, exige que realice la transacción dentro del sistema de Wallapop envíos (o la aplicación que estés utilizando) para que el pago esté protegido y no correr riesgos", reza el aviso publicado por el Incibe, que pide que se reporte ante la plataforma a cualquier usuario que quiera llevar la negociación por correo electrónico.

 

"En el caso de haber facilitado datos personales y bancarios (por ejemplo número de tarjeta, fecha de caducidad y código de seguridad), contacta lo antes posible con tu entidad financiera para informarles de lo sucedido", recomienda el organismo. En caso de haber realizado un pago en una operación similar a la descrita, hay que recabar todas las pruebas y denunciarlo a la Policía o la Guardia Civil.

Wallapop también ha reconocido un "repunte" de esta estafa en su plataforma en los últimos días. No obstante, fuentes de la compañía aseguran a eldiario.es que "las incidencias hayan sido mínimas (por debajo 0,5% del total)". "Desde que identificamos los primeros casos, hemos implementado medidas y herramientas para detectarlos de manera activa y evitar que esto continúe ocurriendo", afirman.

Etiquetas
Publicado el
4 de marzo de 2020 - 19:37 h

Descubre nuestras apps

stats