A la hora de buscar posibles víctimas, los ciberdelincuentes suelen ir cual buitres a aquellos servicios en los que haya un mayor número de usuarios, pues les puede ser más sencillo para camuflarse entre ellos y acometer algún intento de timo o estafa.
En los últimos tiempos se han puesto bastante de moda las plataformas para comprar y vender productos de segunda mano y eso ha acabado siendo también un nido de posibles estafas. Ahora Avast, la compañía de ciberseguridad, ha alertado sobre una estafa de robo llevada a cabo en Vinted.
Esta plataforma en particular permite vender y comprar ropa usada sin moverse de casa y, al igual que otras plataformas online similares, no está exenta de que los ciberdelincuentes intenten ganar dinero a costa de los usuarios. Pueden ocurrir muchos problemas derivados de vender o comprar en Vinted y durante años vemos cómo la gente dice no haber recibido el producto para exigirte el dinero aunque sí lo hayas mandado o el tipo habitual del Bizum que te piden en lugar enviarte u ofrecerte el dinero por lo que acabas de vender. Son muchas las estafas y los problemas y llega una nueva que pretende robarte.
Así es la estafa al comprar en Vinted
En ocasiones anteriores ya hemos alertado sobre estafas en plataformas de compraventa de artículos de segunda mano. Esta vez es el turno de conocer el método que utilizan los ciberdelincuentes para timar en Vinted, un conocido espacio para comprar y vender ropa. Aunque también se pueden encontrar todo tipo de artículos y en el que los ciberdelincuentes pueden hacer su particular agosto a costa de las víctimas.
La firma de seguridad Avast ha sido la encargada de reportar esta estafa en Vinted. En su comunicado, se explica el peligro que pueden tener los vendedores en la app. Además, analizan como es el procedimiento que utilizan en este caso en particular: alguien sube dos productos a la plataforma. Después, el hipotético comprador envía a través de Vinted una captura de pantalla en la que muestra cómo había pagado el artículo y en la que pide el número de teléfono del vendedor. Al mismo tiempo, un segundo comprador también pide al vendedor su número de teléfono para proceder a la transacción tras el pago.
Al enviar su número de teléfono, estos vendedores reciben dos SMS diferentes, del mismo remitente (Vinted) y el mismo texto, con la única diferencia siendo los últimos caracteres de la URL:
«Recibir el pago y completar la venta
https://sms2waw.win/XxxXxx»
Si el vendedor hace clic, realmente estará siendo dirigida a una pasarela de pago en la que aparecerá el logo de Vinted para la suplantación de identidad. Rellenando sus datos, realmente no va a recibir un pago, sino que van a robar sus datos de la tarjeta de crédito. Al final aparece un símbolo de carga y parece que algo iba mal, por lo que incluso puede que se introduzcan los datos de una segunda forma de pago.
Posteriormente, recibe un mensaje SMS con el nombre de su banco y un mensaje tipo: «Para verificar tu tarjeta bancaria en el sistema, debes confirmar la notificación push en la aplicación de tu banco». Efectivamente, al abrir la app del banco puedes encontrar una notificación en la que tienes que aprobar un importe, pero si lo haces, estarás realmente autorizando una compra, no un dinero que te va a llegar a ti.
Puede que estos últimos mensajes estén acompañados de comunicaciones por WhatsApp de los supuestos compradores urgiendo al vendedor a acelerar los procesos del pago, pero realmente estarías haciendo una compra tú. “El dinero es un gran motivador, y es lo que mueve a los ciberdelincuentes. Son mentirosos experimentados y saben bien cómo jugar con los sentimientos de los usuarios en el momento oportuno para hacernos tomar decisiones irracionales que en circunstancias normales nunca tomarían”, advierte Luis Corrons, Security Evangelist de Avast.
Aunque este es solamente uno de los diferentes métodos que utilizan los ciberdelincuentes. También pueden estafar mediante mensajes de Vinted, SMS, correos electrónicos o hasta llamadas de teléfonos. Incluso, pueden timar a los usuarios al suplantar la identidad de representantes de la plataforma, proveedores de envíos, etc.
Cómo protegerte de los timos
Por suerte, siempre que se sigan una serie de recomendaciones se puede evitar caer en los engaños de los ciberdelincuentes. Y más cuando cada vez son más las técnicas que utilizan. Por ejemplo, estos son algunos de los consejos de seguridad que la Oficina de Seguridad del Internauta sugiere para realizar operaciones en plataformas de compraventa de forma segura. Ten en cuenta que es aplicable a este y a otros casos. Y son los siguientes:
- Comprueba si el comprador se ha registrado recientemente, los compradores fraudulentos suelen llevar poco tiempo en la plataforma.
- Revisa valoraciones anteriores y la verificación del perfil.
- Si el comprador te pide seguir la comunicación fuera de la plataforma desconfía, su objetivo es no dejar rastro para poder realizar el fraude.
- No aceptes el pago por ningún método alternativo a la plataforma.
- No te comuniques fuera de la aplicación con posibles compradores, ni des tu número de teléfono.
- Finaliza cualquier transacción a través del chat que ofrece la propia plataforma o aplicación.
De forma general, nunca pincharemos en ningún enlace que nos facilite el vendedor ni creeremos excusas como que se encuentra fuera del país, que tiene problemas con su banco o tretas similares para que terminemos depositando el dinero en un sitio del que será complicado recuperarlo. Y solamente, utiliza algunos de los métodos de pago que da la plataforma.
Si has leído este aviso de seguridad más tarde de lo debido y ya has picado, acude a interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, tratando de adjuntar todas las pruebas que tengas de la estafa, incluyendo conversaciones, las imágenes del supuesto pago, etc. También tienes que ponerte en contacto con la plataforma de Vinted y adjuntar pruebas para que puedan ayudarte. Por esto mismo es importante no comunicarte fuera de la propia aplicación.
Si llegaste a aportar tus datos bancarios, contacta lo antes posible con tu entidad financiera para informarles de lo sucedido y que puedan llegar a cancelar algún cargo fraudulento.