0 opiniones
¿Vendes productos en Wallapop? Así actúan los cibercriminales para vaciarte la cuenta bancaria
Los delincuentes se aprovechan de los usuarios que dan sus primeros pasos en la app para hacerse con sus datos de pago
Wallapop está de nuevo en el centro de una ciberestafa que suplanta su identidad para engañar a las víctimas con poca experiencia en la plataforma mediante una táctica de ingeniería social, por la que se busca obtener las credenciales de la cuenta y de la tarjeta bancaria con los envíos.
Cuando dos personas se ponen de acuerdo en Wallapop, una para vender y otra para comprar, aparece la opción de enviar el producto en lugar que quedar para entregarlo en persona. De esta forma, el pago se realiza en una transacción en línea, cuya cuantía recibe el vendedor una vez el producto se ha entregado.
Usuarios novatos
Esta modalidad de venta mediante envío requiere que el comprador pulse el botón de pagar e introduzca los datos del medio de pago y una dirección de entrega, que puede ser también una oficina de correos. Por su parte, el vendedor ingresará el dinero acordado en un monedero o en su cuenta bancaria.
Se trata de un proceso sencillo que, sin embargo, para las personas que lo usan por primera vez puede generar ciertas dudas, lo que precisamente aprovechan los ciberdelincuentes en una nueva estafa que aprovecha la venta con envío para robar los datos de su cuenta y su tarjeta al vendedor.
Ingeniería social para estafar
Como explican en Panda Security, esta táctica de ingeniería social no levanta las sospechas del vendedor, ya que se encuentra con una persona interesada que mantiene una actitud acorde con lo que se espera de la una conversación para la compraventa de un producto: que pregunte por el estado, por el precio, regatee un poco y acepte ak final el envío.
El problema llega cuando el vendedor marca como reservado el producto, momento en el que el cibercriminal, si ha detctado que la víctima no lleva mucho tiempo usando la app o es la primera vez que realiza un envío, intentará engañarla.
Un falso correo de Wallapop
En ese momento, fingirá aportar su experiencia en el uso de Wallapop para ayudar, señalando, por ejemplo, que el vendedor no ha hecho bien el registro de su cuenta y que por eso no le permite hacer el pago. De hecho, asegura que se debe a que falta el correo electrónico e incluso llega a pedirle a la víctima que le diga el email con el que se ha registrado.
Si la víctima se lo da, recibirá en el correo una comunicación supuestamente procedente de Wallapop en la que se indica que el sistema ha reservado el producto y se redirige a una página de finalización de pedido. En esa página, el vendedor encuentra opciones que le instan a confirmar el correo electrónico, reestablecer la contraseña o la tarjeta de crédito para hacer pagos. No obstante, se trata de un sitio cuidadosamente diseñado para conseguir la numeración completa de la tarjeta, la fecha de caducidad y el código CVV.
Desbloquear para comentar