Site icon Panda Security Mediacenter

Caso real de estafa navideña: phishing en falsos marketplaces para robar dinero

Como cada año, la campaña de Navidad es una de las más “lucrativas” para los ciberdelincuentes, que se aprovechan de los buscadores de ofertas en Internet. Sin embargo, este año, en el que todo se ha visto empañado por la crisis del Covid19, las estafas digitales están todavía más al orden del día que en el pasado.

En estas fiestas compraremos online mucho más que el año pasado. Como consecuencia de la pandemia reduciremos el tiempo que invertimos buscando las tiendas de nuestro barrio o nuestro pueblo, para dedicarlo a rastrear la web en busca del regalo ideal al mejor precio. Sin ir más lejos, un estudio de Google indica que el 57% de los consumidores españoles que planea comprar estas Navidades lo hará online más que  nunca.

Esta información, que supone un gran paso de cara a la digitalización de la sociedad, es una moneda de dos caras puesto que también significa una gran ventana de oportunidad para los grupos organizados de ciberdelincuentes. Por ello, este año están haciendo un especial esfuerzo en crear webs para realizar estafas de una calidad sorprendente. En ellas, en lugar de hacer el clásico phishing, en el que emulan ser la tienda oficial de una marca, están construyendo supuestos ‘marketplaces’ multimarca. Los engaños son tan certeros que diferenciar estos ecommerce de páginas legítimas es muy difícil, incluso para los expertos.

Es el caso de Andrés (nombre figurado para mantener su anonimato), una persona que trabaja en el mundo de la ciberseguridad que pasa parte de su jornada laboral buscando e identificando posibles estafas online, que acaba de ser víctima de un sutil engaño.

Crónica de una estafa en internet

En este post relataremos cuáles fueron los pasos que le guiaron a caer en su estafa, para mostrar que cualquier precaución es poca. “Ahora, más que nunca, debemos buscar hasta el más mínimo detalle en las webs de venta electrónica y, en caso de la más mínima duda, es mejor optar por seguir buscando y pagar un poco más. Siempre merece más la pena gastar un poco más, pero estar seguro de que estamos comprando en una web legítima” destaca Hervé Lambert, Global Consumer Operations Manager de Panda Security.

Lejos de lo que pueda parecer, la estafa se originó tras una rápida búsqueda en Google imágenes. En este caso, Andrés buscaba unas zapatillas de una conocida marca de deporte. Tras buscar en Google Shopping y no encontrar la talla y el modelo que buscaba, pasó a Google Imágenes.

La búsqueda le devolvió como tercer resultado una página web en la que las zapatillas estaban disponibles, tanto en el color y la talla que necesitaba. La web era una tienda multimarca en el que había otros modelos de otras firmas, algunos de ellos con descuentos de entre un 10 y un 30% como es habitual en estas fechas. Las zapatillas que buscaba no estaban disponibles en algunas tallas y colores, pero ‘afortunadamente’ sí lo estaban para el regalo que nuestro protagonista necesitaba.

La importancia de revisar a fondo un ecommerce antes de comprar

Como no conocía la tienda online en la que había “aterrizado”, lo primero que hizo fue hacer una comprobación rutinaria para descartarla o seguir haciendo su compra. Lo primero que hizo fue mirar en la barra de dirección de la web, para comprobar que tenía el certificado SSL visible por medio de un candado que certifica que la información que se transmite entre el ordenador y el servidor de la página web viaja cifrada. En este caso, la web parecía ser “segura”.

El segundo paso que dio fue bajar al pie de página, para ver si había los habituales enlaces de “quienes somos”, “política de privacidad”, “términos y condiciones de uso”  y “contacto”. Todo correcto. El pie de la página contaba con todos esos ‘ítems de menú’.

El tercer paso que dio fue mirar si la página enlazaba a algún perfil en redes sociales. Pinchó en el icono de Facebook y vio que la página contaba con más de 2.000 fans, que tenía su sede física en Cádiz, que tenía información relativamente actualizada, con un último post publicado en septiembre y que incluso tenía un teléfono móvil de contacto para ruegos y preguntas.

La víctima de la estafa seleccionó el producto e hizo la compra. Y justo ahí, comenzó su peculiar calvario prenavideño. En lugar de recibir el clásico email de “confirmación de pedido”, llegó a su correo electrónico un email de una pasarela de pago llamada servicecentervip.com en el que le indicaban, en inglés, que como “la transferencia se había realizado con un tipo de cambio distinto, es posible que el cargo que entre en la tarjeta no sea exacto al de la transacción”.

Las consecuencias del robo

Ahí saltó la primera alarma. Acto seguido, la víctima, entró en la página de contacto de la web para llamar y vio que sólo había un formulario para escribir un email. Recordó que había un teléfono en su página de Facebook e hizo una llamada, pero en lugar de ser atendido por personal de la tienda, escuchó el mensaje de que la línea había sido dada de baja.

La siguiente comprobación fue ir a la página de “Términos y condiciones legales”, donde encontró un texto en inglés en el que no aparecía por ninguna parte ningún CIF ni identificación fiscal de la empresa.

Al darse cuenta de que estaba siendo víctima de una estafa acudió a la app de su banco para anular la transacción y la sorpresa fue que la tienda no había efectuado un pago, sino dos por un importe que triplicaba el pago que había hecho. Acto seguido, llamó al banco para cancelar su tarjeta de crédito.

Finalmente nuestro protagonista consiguió anular el pago, con visita al banco y a la Policía para denunciarlo previamente y, afortunadamente, todo quedó en un “susto” y la retención de 200 euros durante algunas semanas. Pero la estafa podría haber sido mucho más grave si no se hubiera dado cuenta de que estaba siendo víctima de un engaño, porque los ciber ladrones se habían hecho con el número de la tarjeta, la fecha de caducidad y el código secreto CVV que aparece en el anverso de la tarjeta.

Cómo podría haberlo evitado

De no haber sido así y en el posible caso de que la víctima no revise con cautela todos los movimientos de su tarjeta de crédito,  los ciberdelincuentes hubieran podido seguir usando la tarjeta de crédito de la víctima a su antojo durante un tiempo indeterminado.

Si nuestra víctima “hubiera tenido activado un antivirus en su teléfono móvil que vele por su ciberseguridad de manera integral (en todos sus dispositivos de forma simultánea) la compra directamente no habría tenido lugar, puesto que las propias medidas de seguridad hubieran alertado a la víctima de que estaba accediendo a una web ilegítima”, sentencia Hervé Lambert.

Exit mobile version