lunes, mayo 11, 2020

La estafa de la Venta Fraudulenta explota durante el Confinamiento

Durante las últimas dos semanas he recibido por mi cuenta de MyPublicInbox comunicaciones de cinco casos de Venta Fraudulenta. Es decir, de personas que han comprado online en un supuesto e-commerce que vende productos a precios competitivos, pero que realmente no existe. Y he pensado que sería bueno dejaros un aviso por el blog para que alertarais a familiares, amigos y conocidos que están entrando en el mundo del comercio online por primera vez durante este confinamiento.

Figura 1: La estafa de la Venta Fraudulenta explota durante el Confinamiento

Ese esquema de Venta Fraudulenta tiene un funcionamiento muy común y conocido por los cibercriminales, por desgracia. Suelen ser webs que ofertan material muy caro a precios espectacularmente baratos. Como terminales iPhone o auriculares de gama alta tipo AirPods Pro, a precios increíbles. Pero el abanico de ofertas en estas falsas tiendas es increíble. Pueden vender consolas de juegos, guitarras de música, créditos rápidos, gafas de sol, gafas de realidad virtual, juguetes sexuales o televisiones de gran tamaño y precios exhorbitantes que cuestan un 30% o 40% menos de su precio de venta al público. He visto hasta un 70% de rebajas para captar a los menos avisados.

Posteriormente comienza la fase de BlackSEO para posicionar la web en los buscadores, y la de Growth Hacking, donde utilizan las redes sociales para difundir artículos que llenan con comentarios falsos en Facebook, en blogs con usuarios falsos, poniendo mensajes en Twitter y enviando capturas de la web con mensajes viralizados por grupos de WhatsApp o Telegram, etcétera, donde cuentan lo maravilloso de la oferta. El objetivo es llegar a las víctimas propicias. Esas que no están familiarizadas con estas estafas y quieren ahorrar dinero.

Las víctimas se sienten atraídas por las ofertas y los comentarios de gente que supuestamente ha comprado y ha valorado la transacción muy bien son el elemento que les da la confianza para realizar la transacción, pero lo cierto es que son todos mensajes con cuentas falsas, bots, etcétera que sirven para hacer la estafa mucho más creíble.

Empieza el drama

Si la víctima compra el objeto, los problemas no acaban nada más que empezar, y el calvario puede ser largo y duro para todas las víctimas. Porque a partir de ese momento, a cada víctima se le va a ordeñar hasta que sea imposible y esta persona tome medidas drásticas de control de su vida.

Lo primero que se llevan es el dinero y si pueden tu (e-)money. Difícilmente vas a poder recuperar ese dinero. Tú lo has enviado, probablemente fuera de tu país, y si no lo has hecho tú, ya lo habrán hecho ellos al segundo siguiente. Recuperar ese dinero es el menor de los problemas a los que se enfrentan las víctimas.

Figura 2: Show me the (e-)money. Hacking a sistemas de pagos digitales
por Salvador Mendoza (Netxing)
Pero el problema gordo viene con los datos y, sobre todo, documentos que se llevan. El tema es que para realizar la compra te piden todos tus datos, y a veces que les envíes escaneados tu DNI, tu Pasaporte, un recibo de la luz o agua de tu casa, la copia de la escritura de tu vivienda o del contrato de alquiler, o lo que se les ocurra. Datos y documentos que les van a servir para suplantar a las víctimas en un montón de sitios.

Cuando ya le han sacado a la víctima el dinero – que a veces consiguen sacar pagos extras de aduanas, abogados, impuestos extra, cambios de precio en el proveedor, etcétera -, cuando tienen todos los datos y todos los documentos de sus víctimas, entonces desaparecen. La web ya no está y comienzan a replicar el esquema en otros sitios.

Pero ahí es donde empieza el calvario de la víctima.

Primero porque tardan en aceptar que han sido estafados, y lo que les preocupa es recuperar el dinero, cuando lo que les debe preocupar es lo que viene después. Es decir, lo que los cibercriminales hacen con sus datos y documentos.

A partir de ese momento, esa víctima se ha convertido en una identidad en manos del cibercriminal que utilizará para crear su próxima infraestructura criminal de Fraude Online, utilizando los datos de la víctima para registrar dominios, servicios de hosting, registrarse en servicios de la red, pagar servicios de terceros que necesiten, etc… Lo que significa que la víctima tendrá problemas legales que afrontar, ya que saldrá en todas las investigaciones policiales a posteriori.

Después, el problema gordo. Sacarán teléfonos móviles, cuentas bancarias a través de Internet, domiciliarán pagos de servicios de suministros como luz, agua, calefacción, pedirán SIMs a tu nombre, y lo más divertido, créditos rápidos que cobrarán y se llevarán.

Es decir, la cuenta se convertirá en una identidad que se irá endeudando constantemente, que irá contrayendo deudas con empresas, y que terminará por meter a la víctima en un problema difícil de salir. En España tuvimos a un tipo que hizo de esto durante varios años, y consiguió un dineral y hacer la vida imposible a muchas de sus víctimas. Le llamaban Lupin y al cabo de un tiempo y mucha investigación, lo detuvo la Guardia Civil.

Figura 3: Noticia en El País de la detención de "Lupín"

La investigación la llevó el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, liderada por el Teniente Coronel Juan Sotomayor, y tal y como cuenta la noticia de El País, el cibercriminal, conocido como “Lupín”, era capaz de generar con este esquema 300.000 € al mes, y arruinar la vida a muchas víctimas.

Figura 4: Foto del momento de la detención de "Lupín"

El siguiente vídeo es el podcast de 11Paths Radio donde se entrevista a Teniente Coronel Juan Sotomayor de la Guardia Civil. Una entrevista de una hora donde podrás conocer de cerca muchas cosas que seguramente desconocías y que tienen que ver con el mundo de los cibercriminales y el delito informático.


Figura 5: Entrevista al Teniente Coronel Juan Sotomayor en 11Paths Radio

Al Teniente Coronel Juan Sotomayor puedes contactarle a través de su buzón público en MyPublicInbox que tiene abierto como muchos de nosotros. Si quieres enviarle algún mensaje personal puedes utilizar su cuenta pública en Internet en MyPublicInbox.

Figura 6: MyPublicInbox del Teniente Coronel Juan Sotomayor

Y pese a haber sido un número enorme ya el de víctimas de esta estafa, durante el confinamiento, con el incremento de la venta online, el número de víctimas ha crecido brutalmente.

He sido víctima de una Venta Fraudulenta, ¿qué hago ahora?

Si has caído en esta estafa, deberías tomar precauciones desde ya para mitigar al máximo el posible impacto que puedes tener por ella. Mis recomendaciones son:
- Denuncia: Toma todas las evidencias que tengas de pagos, de interacciones con los cibercriminales, etcétera, y vete a la comisaría de Policía o contacta con la UCO para darles los detalles de todo lo que ha pasado hasta ese momento. Si quieres más información, en MyPublicInbox tienes al Teniente Coronel Juan Sotomayor y en la web de la UCO tienes un formulario de denuncia de estos casos.
Figura 7: Formulario de denuncia de la UCO en la Guardia Civil
- Cancela: Bloquea todas tus cuentas bancarias que hayas dado. Cancela la tarjeta de crédito. Cambia el número de cuenta bancaria, el número de tarjeta de crédito, cambia todas las passwords de las identidades que tengan tuyas (e-mail, usuarios de redes sociales, etc..) Pon segundos factores a tus identidades y, si puedes, cambia hasta de número de telefóno y actualízalo en tus proveedores legales.
Figura 8: Cómo protegerse de los peligros en Internet
de José Carlos Gallego Cano
Os recomiendo el libro de “Cómo protegerse de los peligros en Internet” que da muchos consejos buenos para estar protegidos en la red, especialmente después de estar en el punto de mira de los cibercriminales.
- Invalida documentos: Si has enviado copias de tu pasaporte, DNIs, etc… denuncialos y sácate nuevos documentos. Con cada nuevo pasaporte cambia el número, así que eliminarás un dato en posesión de los clientes, y con los DNIs no pasa eso, pero al menos que no tengan el último. Ten en cuenta, que estos tipos pueden tener tu firma y foto en el DNI y por lo tanto puede que te intenten abrir cuentas bancarias a tu nombre.
Es una pena, pero es el mundo que tenemos con el cibercrimen y, este confinamiento ha acelerado el e-commerce y la estafa de la Venta Fraudulenta. Tened mucho cuidado y alertar a familiares, amigos y conocidos que están apareciendo como setas.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


No hay comentarios:

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares