Alerta per una nova estafa en què suplanten Wallapop i Vinted per robar dades bancàries

Una persona posa a la venda un objecte en una de les plataformes més conegudes de productes de segona mà, com Wallapop o Vinted. Poca estona després, un altre usuari s'hi posa en contacte perquè hi està interessat.

La persona interessada, tanmateix, vol seguir la conversa per WhatsApp o qualsevol altre servei de missatgeria. Una petició que, tot i ser habitual, hauria de fer sonar totes les alarmes.

Un cop fora de l'aplicació de compravenda, la persona suposadament interessada envia un enllaç maliciós per continuar el procés de compra. És en aquest punt on comença el potencial atac i, tal com recomanen els Mossos o l'Agència de Ciberseguretat de Catalunya, mai l'hauríem de tocar per accedir-hi.

El delinqüent que fingia interès assegura que ha completat el pagament i demana a la víctima que segueixi els passos que s'indiquen a l'enllaç per completar la transacció. En realitat, es tracta d'una pàgina web dissenyada per robar les dades de la víctima.

Detectat nou mètode d'estafa suplantant @wallapop i @vinted:
? Volen continuar la compra en una altra app de missatgeria
? Envien un enllaç fraudulent del portal de compravenda on han fet el pagament
? Et demanen que introdueixis dades de la targeta #StopEstafes @osiseguridad pic.twitter.com/nnFdWXww9l

— Mossos (@mossos) September 7, 2022

Els Mossos han alertat per Twitter sobre aquest nou mètode d'estafa, que no deixa de ser una variant més del phishing o smishing usuals, en què els delinqüents comparteixen enllaços fraudulents que porten a espais que imiten l'aspecte dels llocs web oficials.

L'objectiu d'aquests llocs web amb colors i dissenys similars als reals és enganyar els usuaris i extreure'n la informació d'accés, com el nom d'usuari i la contrasenya, o dades similars que aprofitaran per robar diners o més informació.

En declaracions al portal 324.cat, l'Agència de Ciberseguretat de Catalunya ha explicat que els delinqüents utilitzen diferents maneres, "equivalents a campanyes publicitàries", per intentar aconseguir el de sempre: obtenir les nostres dades.

Nou objectiu, mateixa metodologia

En aquest nou cas, els ciberdelinqüents sembla que han iniciat una campanya que converteix en objectiu dels seus atacs els usuaris de serveis de compravenda, tal com han descobert des de l'Oficina de Seguretat de l'Internauta, una institució estatal orientada a la ciutadania que depèn de l'Institut Nacional de Ciberseguretat d'Espanya.

En el cas dels phishing o smishing clàssics, els ciberdelinqüents acostumen a enviar els enllaços maliciosos de forma indiscriminada per SMS o per correu electrònic, però aquesta vegada la metodologia varia lleugerament en el mètode de contacte inicial: s'utilitza l'espai de missatgeria d'aplicacions de compravenda i es demana sortir de l'entorn oficial per continuar la conversa en un espai menys controlat.

Hi ha maneres d'evitar caure en aquests paranys habituals, però els consells habituals impliquen actuar amb cautela i desconfiança com a primera mesura.

No hi ha cap motiu de pes que obligui a traslladar la conversa d'un servei de compravenda fora de l'entorn oficial, a priori més controlat i segur, que ofereix la mateixa plataforma i que, a més, podria tenir la capacitat de detectar els enllaços fraudulents.

No s'ha de fer clic a cap enllaç que ens enviï un contacte desconegut i tampoc hauríem de compartir les dades personals, bancàries o d'identitat en cap enllaç que no coneguem i no hàgim escrit nosaltres personalment, o al qual no ens hagi dirigit una aplicació o web oficials.

També és important comprovar l'antiguitat de l'usuari que es posa en contacte amb nosaltres amb interès per comprar o vendre'ns objectes de segona mà, així com les valoracions anteriors que ha rebut el perfil i la seva verificació.

Si l'aplicació disposa d'una opció de pagament interna, rebutgem completar les transaccions en aplicacions alternatives: l'oficial és la que protegirà millor els nostres drets com a usuari.