El phishing agrede a cada vez más usuarios de plataformas de venta de segunda mano como Wallapop o Vinted, en donde los atacantes consiguen engañar a sus víctimas para que compartan información sensible y que instalen software maliciosos o estafándolos mediante compras fraudulentas. Es común entre las personas que adquieren entradas de conciertos que resultan ser falsas o productos que nunca llegan al domicilio. Pero en este caso, Fernando, mientras intentaba darle una segunda vida a unos patines que no usaba, casi termina siendo una víctima más por medio de la red de segunda mano usada ampliamente en España, Wallapop.
¿Cómo fue la estafa?
El médico de Familia, Fernando Fabiani, relató mediante la red social X, antes Twitter, su experiencia en Wallapop vendiendo unos patines que, de no ser por sus repetidas observaciones, hubiese acabado en estafa. "No sería nada difícil caer", explica refiriéndose a la página web generada por los estafadores. "Cuela total, está muy currada, te hace dudar incluso aunque sorprenda", afirma sorprendido.
Cómo es esta estafa de phishing que opera en Wallapop
El episodio, que finalizó con el usuario del estafador deportado y una denuncia a la Policía, estuvo orquestado al detalle y según el mismo resume: "Está muy currado el sistema de estafa. No me parece difícil caer en un phishing de este tipo". Además, advierte al resto de usuarios que "tengan cuidado ahí fuera". En esta misma línea, insta a los lectores del hilo a que compartan la información con los que usen "Wallapop y plataformas similares".
He estado a punto de caer en intento de estafa por phishing en @wallapop. Os cuento...#ahílollevas
— Fernando Fabiani 💯 (@FernandoFabiani) April 20, 2024
El paso a paso del fraude
El intento de robo comenzó cuando otro usuario de Wallapop le envió un mensaje por la aplicación simulando el mismo mensaje que se recibe al realizar una venta. El mensaje afirmaba: "Enhorabuena! Tu artículo ha sido vendido por 35€. Envía tu número de teléfono o correo electrónico para completar el pago y confirmar el envío..."
Por más que a Fernando le pareció sospechosa esta petición, puesto que Wallapop advierte que no se compartan datos privados por razones de seguridad y porque la plataforma ya cuenta con los datos personales. Sin embargo, el vendedor accedió y le compartió su dirección de correo electrónico.
Procedimiento dudoso
Posteriormente, en su correo recibió un link en el que debe hacer pinchar para el "paso de venta final" y aunque otro aspecto dudoso vuelve a levantar sus sospechas, Fernando decide entrar en la página de los usurpadores. Ya dentro, lo que se observa es un anuncio que comunica que "el artículo se compró", para proceder a recitar lemas comunes como "compras seguras" o "nuestro apoyo" y lo más sorprendente: La página usa la misma foto del anuncio original.
Después, la web pide que se rellenen todos los datos de la tarjeta bancaria -incluido el código de seguridad-. Es ahí cuando Fernando decide no seguir y denunciar el asunto a la Policía. Sin embargo, incluso después de haber registrado la queja a la autoridades y haber bloqueado al usuario, recibió un mensaje más para pedir de nuevo su corre. En este caso, el afectado envió el teléfono de la comisaría.
