sábado, agosto 21, 2021

La estafa de los Falsos Brokers que van a hacer que te forres con Amazon o Tesla y el Growth Hacking en Twitter con tus apps móviles gratuitas

Si el otro día os hablaba de una pregunta que me entró por mi buzón en MyPublicInbox de cómo una persona estaba siendo monitorizada por que en un descuido alguien consiguió compartirse la ubicación de iPhone por iMessage, hoy os traigo otra estafa de la que me han llegado como alrededor de diez consultas por el mismo buzón. Se trata de la estafa de los falsos brokers que van a hacer que ganes mucho dineros invirtiendo en Amazon, Tesla, u otra empresa similar.

Figura 1: La estafa de los Falsos Brokers que van a hacer que te forres con Amazon o Tesla y el "Growth Hacking" en Twitter con tus apps móviles gratuitas

Mucho se ha hablado de la estafa de los BitCoins, y cómo utilizan la imagen de personas famosos para engañar a las víctimas. Yo me he visto utilizado muchas veces como gancho de esa estafa, y por eso escribí un artículo para que quede claro que "No, Chema Alonso no se está forrando con BitCoins" como dicen las campañas de Malvertising que lanzan en Facebook, Instagram o Twitter. Pero de la que voy a hablaros hoy hay un poco menos de información, y me han llegado ya muchas víctimas contándome su situación.

Figura 2: Ultimo mensaje que me entró por mi buzón en MyPublicInbox
con una nueva víctima de la estafa de los Falsos Brokers.

En definitiva es la misma estafa, pero esta vez hecha con la imagen de Amazon o Tesla o cualquier otra gran compañía que en la cultura popular esté muy metida como exitosa, y me sorprende que no están persiguiéndolo mucho. Entiendo al final que Amazon y Tesla, que son empresas cotizadas en bolsa no pueden estar en contra de lo que dicen las campañas que utilizan. 

Figura 3: El Selector de la Avaricia. Mete 20.000 € que ganarás 102.624 € en dos meses máximo.
O lo que es mismo, mete 20.000 € y en dos meses lo multiplicas por 6.

Es decir, que invertir comprando acciones en esas empresas te puede dar grandes retornos de dinero, pero lo cierto es que lo que prometen estos Falsos Brokers, es directamente falso, y si caes en sus manos no vas a invertir nunca en bolsa, pues son empresas falsas que capturan tu dinero y te sacan todo lo que puedan.

Figura 4: Campañas de publicidad en medios nacionales de gran tirada

Contratan campañas de publicidad y marketing que meten en los principales diarios de los países, como contenido patrocinado, utilizando la imagen de estas compañías. Este es un ejemplo de Amazon en un periódico online nacional en España. Por supuesto, cuando vas a la web, lo que hay son testimonios falsos y datos falsos, utilizando cuentas que no existen.

Figura 5: Testimonios publicados en la web de los falsos brokers

En este ejemplo puedes ver que utilizan una cuenta de Twitter con el testimonio de una persona, pero no es verdad esa cuenta no existe o ha sido eliminada por ser fraudulenta. Siempre es la misma idea. Invertir en malvertising, utilizar testimonios para ganar confianza - como hacen en la estafa de los BitCoins o la estafa de los Hackers para espiar WhatsApp for Hire -, y conseguir el lead para luego trabajarse a la víctima por e-mail o por teléfono, al más puro estilo "Tocomocho".

Figura 6: La cuenta del "Rey Hakim" no existe.
 (¿Has visto el Principe de Zamunda? Cachondos...)

Eso sí, todo es legal, porque son empresas en el otro lado del mundo y en la letra pequeña de los contratos que firmes ya te pone que puedes perderlo todo, que no están obligados a devolverte el dinero, etcétera, etcétera, así que, si no te has leído la letra pequeña no tendrás nada que hacer en ese paraíso fiscal al que vas a enviar tu dinero.

Figura 7: Letra pequeña de la campaña de marketing que ves en la web

Los contratos no los ves en la web, y tendrás que esperar a que ellos, cuando tengan tu información y estén convencidos de que vas a darles el dinero, te los pasarán. El texto que ves en la Figura 7 es de la campaña de marketing que hace otra empresa, separada, de los Falsos Brokers, para curarse también en salud de las denuncias que llegarán.

Falsos Brokers y Growth Hacking

En este otro caso de aquí, de esta misma semana (aún activo) , me llamó la atención que la campaña de malvertising se  hiciera directamente desde una cuenta de Twitter, que además se llama Top Business (13). Cuando la vi, llama la atención que se ha abierto a finales de Junio de 2021 y que solo sigue a 13 cuentas - ninguna de los creadores de esa supuesta empresa - y tenía ya más de mil seguidores.

Figura 8: Campaña de Falsos Brokers por Twitter

Si miramos a quién sigue, está claro que busca posicionarse como una cuenta corporativa, siguiendo al Presidente Biden, a Tesla, a Elon Musk, a Forbes, etcétera. Todo lo que a una víctima le pueda dar el olor de "dinero" o "poder", pero si vemos a los seguidores, la cosa cambia. 

Figura 9: Siguiendo "Dinero" y "Poder"

Entre los followers ay una lista de un montón de personas que estaba seguro de que no seguían esa cuenta por interés propio. Así que busqué a uno de los seguidores para hablar con él y le pregunté directamente si él seguía esa cuenta por algo, ya que me olía cómo habían conseguido los seguidores.

Figura 10: Constatando el Growth Hacking con tokens OAuth

Como era de esperar, la respuesta era clara: No tenía ni idea de cómo la había seguido. Así que, como era evidente, han comprado seguidores a alguna empresa que tiene apps de Twitter con Tokens OAuth capturados por medios de apps móviles.  En su caso, la única app que tenía un token OAuth válido no caducado era Steroload, que se dedica a hacer Growth Hacking para bandas de música, y parece ser que para cualquier postor - incluso Falsos Brokers -.

Figura 11: Apps con Tokens OAuth de Twitter válidos
de la persona forzada a seguir a TopBusiness13

Es decir, te descargas una app gratuita, te piden que te autentiques con Twitter, autorizas la app de Twitter, y se llevan el token OAuth - como explicábamos en el ejemplo de Sappo para Twitter -. Normalmente estas apps gratuitas capturan estos tokens para vender likes, followers, o similares a gente que desea crecer en relevancia en cualquier plataforma - es su negocio - pero una vez que tienen el token OAuth de Twitter, ya pueden hacer lo que quieran, como hacerte seguir a una cuenta fraudulenta para dar confianza a las nuevas víctimas. 


Figura 12: Resumen de las pruebas de seguridad del

Esta es una de más de veinte características de fortificación de cuentas Twitter que se recomiendan en el asistente de seguridad de Twitter que hicimos en MyPublicInbox que puede utilizar cualquier usuario de la plataforma. Así que, si no quieres ser parte de este tipo de estafas, revisa qué apps de Twitter tienen tokens OAuth con el que pueden controlar tu cuenta.

Figura 13: Buscando en Tacyt "sospechosos" de capturar tokens OAuth

Alberto se acordaba de haber instalado alguna app de SoundCloud que hacía algo por Twitter, así que decidí irme a mi querido Tacyt y hacer un poco de dorking para localizar apps que tuvieran que ver con SoundCloud y pidieran autorizar tokens de OAuth. Un sencilla búsqueda y aparecieron un par de ellos.

Figura 14: Links de Twitter para capturar tokens OAuth

Como se puede ver, en los enlaces que tienen estas apps se puede ver cómo hacen uso de las APIs de Twitter para autenticar apps de Twitter y capturar los Tokens OAuth. Así que, cuando te bajes una app móvil gratuita, piensa cuál es su posible modelo de negocio.

Conclusión

Nadie da nada por nada. Casi todas las apps móviles tienen un modelo de negocio. Si no sabes cuál es... puede ser malo. Los Tokens OAuth que te piden apps móviles gratuitas son por algo - y puedes acabar siendo parte de algo así -. 

Figura 15: Cómo protegerse de los peligros en Internet
de José Carlos Gallego Cano

Y si un broker puede convertir 20.000 € en 120.000 € en dos meses... ¿para qué gastar dinero en publicidad para hacerte ganar dinero a ti? ¿De verdad?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


3 comentarios:

Hugo Ortiz dijo...

Muy buen artículo. Gracias por compartir esta información. Saludos Chema.

Unknown dijo...

Hace años que veo esos anuncios de 250€ en amazon en periódicos digitales y no entiendo como pueden permitirse tener esas estafas en sus webs. Falta el del "truco" que no imaginas para adelgazar. Muchas gracias, muy buen articulo!

JalaDerecho dijo...

Chema, Saludo cordial! ¿Existe alguna aplcación que nos ayude a verificar a que paginas, redes, aplcaciones, etc. le hemos dado autorizacion por token OAuth?

Entrada destacada

Singularity Hackers: Para descubrir el trabajo de Ciberseguridad & Seguridad Informática que mejor se adapta a ti

Hoy me toca hablar de Singularity Hackers , la nueva plataforma de Inteligencia Artificial que te ayuda a descubrir el trabajo en Cibersegu...

Entradas populares