Per Tecnonews / AMIC
Comerciar amb articles de segona mà s’ha tornat una activitat molt popular actualment, ja que existeixen algunes plataformes que permeten fer-ho còmodament des de casa. Una d’aquestes aplicacions de moda – ben coneguda a Europa i Amèrica del Nord – és Vinted, un conegut espai per a comprar i vendre roba de segona mà, encara que també es poden trobar tota mena d’articles. Els ciberdelinqüents i estafadors acudeixen a aquesta mena de llocs per a perpetrar els seus delictes, ja que són freqüentats per un ampli nombre d’usuaris. Avast, líder mundial en seguretat i privacitat, adverteix d’una estafa de robatori duta a terme en Vinted.
“Helena” és la víctima fictícia de l’atac, una jove que recorre assíduament a Internet. Fa anys que fa totes les seves operacions bancàries en línia, compra habitualment en moltes botigues en línia diferents, des de Shein o Aliexpress fins a Amazon o Zara, i també està familiaritzada amb les plataformes d’articles de segona mà, on compra i ven amb regularitat. Tenia un parell d’articles que no es venien en una altra plataforma i va decidir provar Vinted el cap de setmana passat. La hi havien recomanat uns amics que la utilitzaven des de feia temps, i li havien comentat que, amb l’app, Helena podria arribar a un nou públic que podria estar interessat en el parell d’articles dels quals volia desfer-se: un quadre i unes sabates de dona.
Va crear el seu compte a Vinted i va pujar els dos articles. Es va quedar realment sorpresa i emocionada quan en qüestió de segons va rebre un parell de missatges de dues persones diferents que estaven interessades en els articles. La primera persona li va enviar a través de Vinted una captura de pantalla en la qual mostrava com havia pagat l’article i en la qual li demanava el número de telèfon del venedor. Al mateix temps, el segon comprador li demanava també el seu número de telèfon per a procedir a la transacció després del pagament.
Prèviament, l’Helena mai havia estat víctima de cap estafa, de fet, havia estat capaç de reconèixer missatges de phishing. No obstant això, aquesta vegada l’emoció i les presses (ocupar-se de les dues vendes al mateix temps) van trair el seu sentit de detecció d’estafes. I va enviar el seu número de telèfon.
Pocs instants després va rebre dos SMS diferents, del mateix remitent (Vinted) i el mateix text, l’única diferència eren els últims caràcters de l’URL:
Rebre el pagament i completar la venda https://sms2waw.win/XxxXxx
En fer clic, l’Helena va ser redirigida a una passarel·la de pagament, amb el logotip de Vinted en la part superior, que li indicava que havia d’emplenar les dades de la seva targeta de crèdit per a rebre el pagament. Després d’emplenar el formulari, apareixia un símbol de càrrega i semblava que alguna cosa anava malament. Pensant que podria tractar-se d’un problema amb la seva targeta de crèdit, Helena va introduir les dades d’una altra.
Uns minuts més tard va rebre una sèrie de missatges a través de WhatsApp.
Ella va respondre que no havia rebut cap notificació. Minuts després rep nous missatges de WhatsApp d’un número diferent.
Un minut després rep un missatge SMS amb el nom del seu banc en el camp de:
Per a verificar la teva targeta bancària en el sistema, has de confirmar la notificació push en l’aplicació del teu banc.
L’Helena va obrir l’aplicació del seu banc i, efectivament, hi havia una notificació que havia d’aprovar per un import total de 299 euros. A continuació, va rebre instruccions addicionals a través de WhatsApp.
En aquest moment l’Helena va decidir posar-se en contacte amb l’equip d’Avast i va enviar captures de pantalla dels diferents missatges que havia rebut. Es va informar que no acceptés cap pagament i que bloquegés les seves targetes de crèdit immediatament (una senzilla operació de 2 clics, mitjançant l’aplicació del seu banc). Va denunciar als usuaris a Vinted, els números de telèfon a WhatsApp i va cancel·lar les seves dues targetes de crèdit. Afortunadament, els estafadors no van desviar diners de cap d’elles.
“Els diners són un gran motivador, i és el que mou als ciberdelinqüents. Són mentiders experimentats i saben bé com jugar amb els sentiments dels usuaris en el moment oportú per a fer-nos prendre decisions irracionals que en circumstàncies normals mai prendrien” adverteix Luis Corrons, Security Evangelist d’Avast.