Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
-
▼
septiembre
(Total:
65
)
- LaLiga de España presenta MOOD, un sistema de moni...
- Seagate logra la peor tasa de fallos SSD en un est...
- Vivaldi llega a iOS ofreciendo privacidad y manten...
- ¿Cómo detectar si un texto fue escrito con Intelig...
- Raspberry Pi 5
- Microsoft quiere usar energía nuclear en sus centr...
- La FCC quiere recuperar la Neutralidad de Red
- RedPersist una herramienta de persistencia en Wind...
- Sony víctima de un ciberataque con filtración de 2...
- Meta Quest 3: en octubre por 500 dólares
- Signal Messenger presenta el cifrado a prueba de a...
- Cómo recuperar tu cuenta de WhatsApp robada: guía ...
- ChatGPT ahora puede ver, oír y hablar
- Amazon invertirá hasta 4.000 millones de dólares e...
- El 95 % de los NFT ya no valen nada
- Falso exploit para vulnerabilidad WinRAR infecta c...
- Microsoft desvela la nueva actualización de Window...
- Relay privado de iCloud
- OpenAI anuncia DALL-E 3 y lo integra de forma nati...
- El gobierno de Sri Lanka pierde meses de datos tra...
- El actor Stephen Fry denuncia el robo de su voz me...
- Bard ahora puede interactuar con aplicaciones de G...
- Así es el último phishing a través de Wallapop
- Elon Musk comienza "el reclutamiento" de humanos p...
- El tribunal y la FTC aseguran que Microsoft ha fil...
- Elon Musk quiere que Twitter sea de pago para todo...
- Twitter pedirá una identificación oficial para evi...
- Microsoft expone por error 38TB datos sensibles de...
- DeepNude: la aplicación que "desnuda" a cualquier ...
- Unity cambiará su tarifa basada en las veces que s...
- Lazarus robó 54 millones de dólares del exchange C...
- Federación Holandesa de Fútbol (KNVB) pagó un resc...
- MGM y Caesars Palace, hackeados con ransomware en ...
- Ransomware paraliza servicios en múltiples países:...
- ThemeBleed: exploit para vulnerabilidad en theme d...
- Irlanda multa a TikTok con 345 millones de euros p...
- Colombia: activan protocolos de emergencias por ra...
- Nueva función de Windows 11 bloquea los ataques ba...
- 3AM es un nuevo ransomware escrito en Rust
- iPhone 15 limitará la carga de la batería para red...
- Ciberataque masivo en Colombia: los portales y ser...
- Atacantes chinos robaron la clave de firma de Micr...
- Francia retira el iPhone 12 por emisiones de ondas...
- Dennis Austin: la mente detrás de PowerPoint, el p...
- Inyección de prompts: el mayor fallo de seguridad ...
- WhatsApp será compatible con Telegram, Signal y ot...
- Microsoft elimina los controladores de impresoras ...
- Vulnerabilidades en iMessage de Apple para infecta...
- Un youtuber pierde 50.000 dólares en criptomonedas...
- Google habilita la protección contra phishing en t...
- Microsoft te protegerá legalmente si alguien te de...
- El hackeo de LastPass habría facilitado el robo de...
- Las fabricas de Toyota se detuvieron por un disco ...
- La Comisión Europea designa a Google, WhatsApp y T...
- Rockstar está vendiendo sus juegos crackeados en S...
- Los ‘deepfakes’ de voz van a por tus ahorros
- Presionar INTRO para omitir el cifrado completo de...
- Un ciberataque paraliza al Ayuntamiento de Sevilla...
- Dimite el jefe de la Policía de Irlanda del Norte ...
- Extensiones del navegador maliciosas
- Archivo malicioso de Microsoft Word en un archivo ...
- Qishing: phishing en códigos QR
- Microsoft eliminará Wordpad de Windows tras cerca ...
- Acusan a escolares de manipular fotos de sus compa...
- X (Twitter) ahora podrá recopilar tus datos biomét...
-
▼
septiembre
(Total:
65
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Así es el último phishing a través de Wallapop
Un nuevo timo a través de Wallapop en el que los ciberdelincuentes se hacen con los datos de la cuenta corriente de sus víctimas, por lo general usuarios nuevos de la aplicación.
El ataque es extremadamente sencillo. Por medio de una investigación de ingeniería social, los ciberdelincuentes localizan a personas que están vendiendo productos por primera vez en la conocida aplicación de venta de segunda mano, o bien a usuarios que están utilizando por primera vez los envíos dentro de la plataforma.
Es el caso de Marieta (nombre ficticio), una estudiante madrileña de 16 años que puso en venta algunos elementos del mobiliario de su cuarto para costearse sus vacaciones de verano con unas amigas.
La madre de Marieta trabaja en un entorno laboral muy cercano al de la ciberseguridad y conoce bien los riesgos de ciberacoso y de posibles estafas a adolescentes a través de aplicaciones en las que se puede socializar con otras personas. Tanto es así que la propia progenitora ayudó a su hija a establecer ciertas medidas de seguridad básicas, como: no publicar una foto de la niña para evitar que potenciales ciberdelincuentes o ciberacosadores puedan intuir su edad; o evitar que las fotos de los productos en venta permitan ver información personal como el colegio en el que estudia o los alrededores de su casa para que nadie encuentre la ubicación de su domicilio.
Al rato de publicar los productos, se puso en contacto con ella una persona muy interesada en comprar varios de los enseres. El usuario, que se presentó con el nombre de Álvaro (también usaremos un nombre ficticio. Aunque es importante recalcar que era un nombre “normal y corriente”) se mostró “muy amable y simpático” al conversar con ella a través del chat de la aplicación y, en ningún momento la instó a salir de la app para hablar por WhatsApp.
“Este dato es importante, porque la madre de Marieta le había indicado previamente lo arriesgado que es salirse de la aplicación para comunicarse con desconocidos, pues es ahí donde suelen llevarse a cabo muchos de los timos y extorsiones”, enfatiza Hervé Lambert,
Así, el ciberdelincuente Álvaro, se interesó por el estado de los productos e incluso llegó a regatear un poco los precios. Es decir, “el proceso de compraventa se produjo dentro de las operativas habituales entre todos los usuarios que están acostumbrados a transaccionar dentro de esta aplicación”, apunta Lambert.
Una vez que Marieta y el, todavía, “amable” ciberdelincuente acordaron un precio final y el hecho de que ella podía hacerse cargo del envío, fue cuando realmente se llevó a cabo el ataque de phishing. Pocos minutos después de que Marieta pusiera el producto como “reservado” en Wallapop, Álvaro volvió a escribirle por el chat. Esta es la transcripción de la conversación:
ÁLVARO: “como debes ser nueva en la app, no has hecho bien el registro y no puedo hacer el pago […], Parece que no has puesto tu email y desde Wallapop no pueden cargarlo en mi tarjeta. “¿Con qué email estás registrada?”
MARIETA: m*****.****@gm**.com
ÁLVARO: ¡Qué raro! Voy a volver a intentarlo. Ahora te digo.
Acto seguido, la niña recibe un email en su correo electrónico que emula ser enviado por Wallapop, en el que se indica que “el sistema ha reservado con éxito su artículo para la venta” y que para confirmar el pedido solo hay que hacer clic en el botón de abajo. El sistema le redirigirá automáticamente a la página de finalización del pedido”.
“El phishing está tan bien perpetrado que es realmente difícil advertir que el remitente realmente no es un mensaje automático de la aplicación, pese a que este tipo de apps nunca hace este tipo de comunicaciones”.
Al pinchar en el enlace, su navegador le lleva a una página web que emula casi a la perfección al sitio legítimo de Wallapop en Internet. En él, hay que rellenar unos campos como ‘confirmar correo electrónico’, ‘restablecer contraseña’ y ‘confirmar tus tarjeta de crédito para efectuar los pagos’. “De este modo, los ciberdelincuentes pueden hacerse con la numeración completa de la tarjeta, la fecha de caducidad y el código CVV”.
Afortunadamente, Marieta no tiene tarjeta de crédito y va a pedirle los datos de la suya a su madre. Ésta desconfía de la operativa, pues por su profesión sabe que no es habitual recibir pagos en una tarjeta de crédito. Lo lógico es recibir un cargo a cuenta.
La madre investiga un poco la página y opta por desconfiar de la operativa. Y, en lugar de rellenar los datos solicitados, va a la página web Wallapop, en este caso la legítima, y comprueba que el sitio al que están dirigiendo a su hija es un claro caso de phishing.
“Afortunadamente, la madre de Marieta está familiarizada con los timos de ingeniería social y de phishing. Por ello, consiguió que no estafaran a su hija, robándole las claves de su tarjeta de crédito. Sin embargo, si los ciberdelincuentes hacen este tipo de ataques, es porque tienen una elevadísima tasa de éxito. Por desgracia hay cientos de Marietas al mes que sucumben ante este tipo de ataques. Por ello, siempre que alguien nos pida datos personales o bancarios, hay que desconfiar"
Fuentes:
https://www.pandasecurity.com/es/mediacenter/mobile-news/ultimo-phishing-casi-perfecto-wallapop
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.