El fraude en el mercado no es nada nuevo. Los ciberdelincuentes estafan dinero tanto a compradores como a vendedores. Últimamente, hemos visto una proliferación de bandas cibernéticas que operan bajo el modelo de fraude como servicio y se especializan en engañar a los usuarios de mercados en línea, en particular, foros de mensajes. Los delincuentes siempre están inventando nuevos esquemas para robar datos y fondos personales, que luego se distribuyen rápidamente a otros estafadores mediante la automatización y la venta de herramientas de phishing. Este artículo explora cómo operan estas bandas cibernéticas, cómo encuentran y engañan a las víctimas, con una mirada especial a una campaña dirigida a usuarios de varios foros de mensajes europeos.
Formas de engañar a los usuarios del foro de mensajes
Hay dos tipos principales de estafas en foros de mensajes.
El primero es cuando un estafador se hace pasar por el vendedor y ofrece enviar un artículo al comprador. Cuando el comprador pregunta sobre las condiciones de entrega y el método de pago, el estafador (en el rol de vendedor) solicita el nombre completo, la dirección y el número de teléfono del comprador, y el pago en línea. Si la víctima está de acuerdo, se le envía un enlace de phishing para pagar el pedido (en un mensajero de terceros o en un cuadro de diálogo en el tablero de mensajes, si el sitio no bloquea dichos enlaces). Tan pronto como el usuario introduce los datos de su tarjeta en el sitio falso, acude directamente al estafador, que debita el saldo disponible.
Este tipo de fraude se conoce como estafa 1.0 o estafa del comprador , porque el atacante se hace pasar por el vendedor para engañar al comprador. Se considera obsoleto ya que la mayoría de los usuarios de los foros de mensajes lo saben. Además, el método implica esperar a que un comprador se interese por el artículo en oferta.
Alternativamente, el estafador puede hacerse pasar por el comprador y engañar al vendedor persuadiéndolo de que envíe el artículo y cobre el pago mediante una “transacción segura”. Como en la estafa 1.0, los atacantes envían un enlace de phishing al vendedor engañado a través de un mensajero externo o directamente en el foro de mensajes. La página vinculada solicita los datos de la tarjeta de pago. Si el vendedor los introduce, supuestamente para recibir el pago, el atacante debita todo el dinero de la tarjeta.
Esto se conoce como estafa 2.0 o estafa del vendedor , porque el atacante engaña al vendedor haciéndose pasar por comprador. Este tipo de estafa es más común que el primero, ya que menos usuarios están familiarizados con ella, por lo que las posibilidades de encontrar una víctima son mayores. Es más, en la estafa 2.0 el atacante busca víctimas de forma proactiva, en lugar de esperar a que aparezca una, lo que acelera la operación.
En ambos casos, al hacer clic en el enlace se abre un sitio de phishing: una réplica casi exacta de una plataforma comercial o servicio de pago real con una pequeña diferencia: todos los datos que ingrese allí caerán en manos de ciberdelincuentes. Ahora, veamos más de cerca el esquema de estafa 2.0 dirigido a vendedores.
Cómo los atacantes eligen a sus víctimas
Los estafadores tienen varios criterios para seleccionar víctimas potenciales. Principalmente se sienten atraídos por los anuncios que los vendedores han pagado para promocionarlos. Estos anuncios suelen aparecer en la parte superior de los resultados de búsqueda y están marcados como patrocinados. Atraen a los estafadores por dos razones: en primer lugar, es más probable que un vendedor que paga por la promoción tenga dinero y, en segundo lugar, probablemente estén buscando una venta rápida.
Además de la etiqueta patrocinada, los atacantes miran las fotografías del anuncio: si son de calidad profesional, lo más probable es que se trate de una oferta de una tienda. Los estafadores no están interesados
Por último, los atacantes necesitan vendedores que utilicen un mensajero de terceros y estén dispuestos a proporcionar un número de teléfono. Esta información se conoce sólo después de que se establece el contacto.
Cómo se engaña a la víctima
El objetivo principal es persuadir a la víctima para que haga clic en un enlace de phishing e introduzca los datos de su tarjeta. Como cualquier comprador, el estafador abre la conversación con un saludo y una pregunta sobre si la oferta todavía está sobre la mesa. Después de eso, el actor de la amenaza le hace al vendedor varias preguntas sobre el producto, como su estado, hace cuánto tiempo lo compraron, por qué quieren venderlo, etc. Los estafadores experimentados no hacen más de tres preguntas para evitar despertar sospechas.
A continuación, el atacante acepta comprar el artículo, pero dice que no puede recogerlo en persona y pagar en efectivo porque, digamos, está fuera de la ciudad (aquí el estafador puede ser creativo) y luego pregunta si la entrega se realiza con “pago seguro”. ” es aceptable.
Para desviar posibles preguntas del vendedor, el estafador explica el esquema de pago en detalle, aproximadamente de la siguiente manera:
- Pago el artículo en [nombre del sitio].
- Obtienes un enlace para recibir el dinero.
- Sigue el enlace e ingresa los datos de su tarjeta para recibir el pago.
- Una vez que recibas el dinero, el servicio de entrega se comunicará contigo para establecer tu método de envío preferido. El envío ya estará pagado. El servicio de entrega empaquetará y documentará el artículo por usted.
Si la víctima empieza a poner objeciones sobre el método de pago, el estafador simplemente desaparece para no perder el tiempo. Si el vendedor quiere continuar las negociaciones en el sitio web oficial del mercado, el atacante concluye que huele mal y que es poco probable que haga clic en el enlace de phishing, por lo que deja de responder y comienza la búsqueda de una nueva víctima.
Sin embargo, si la víctima hace clic en el enlace e ingresa los datos de su tarjeta, los estafadores desvían todos los fondos disponibles. El precio del artículo es irrelevante: incluso si la cantidad solicitada en el anuncio fuera insignificante, los atacantes robarán todo lo que puedan.
Cómo se ven las páginas de phishing
En el esquema de estafa 2.0, hay dos tipos principales de sitios de phishing: algunos imitan el mercado con el anuncio de la víctima, otros un servicio de pago seguro como Twin. A continuación se muestra un ejemplo de un anuncio de phishing y el original en el sitio oficial.
Como vemos, los estafadores han producido una copia casi exacta de la interfaz del mercado. La página falsa se diferencia de la original sólo en pequeños detalles. En particular, en lugar del botón Inserent kontaktieren (“Contactar con el anunciante”), la página de phishing muestra el botón Recibir 150 CHF. Al hacer clic en este botón se abre una página con un formulario para ingresar los detalles de la tarjeta.
Si el enlace original abre una copia de un servicio de pago seguro, el formulario de introducción de datos de la tarjeta aparece directamente en esta página, sin redirecciones adicionales.
Ciberbandas
Recientemente, grupos enteros de estafadores especializados en foros de mensajes han adquirido una gran notoriedad. Al practicar ambos tipos de fraude (estafa 1.0 y estafa 2.0), unen a autores intelectuales criminales, equipos de soporte y actores de bajo nivel.
Llevamos a cabo un estudio en profundidad de una de esas bandas dirigidas a usuarios de foros de mensajes en Suiza. Basándose en este ejemplo, mostraremos la estructura interna y la organización de actividades en dichas estructuras.
Un grupo cibercriminal puede incluir los siguientes roles:
- El iniciador del tema (TS) es el fundador y administrador principal del equipo.
Coder es responsable de todos los componentes técnicos: canales de Telegram, chats, bots, etc. - Refunder es un estafador que maneja chats de soporte técnico en sitios de phishing. Ayudan a convencer a la víctima para que introduzca los datos de su tarjeta, que es el objetivo final de los atacantes. El nombre “reembolsador” proviene del hecho de que la víctima es dirigida a dicho “especialista” si no está contenta con el débito y desea un reembolso.
- Carder tiene la tarea de retirar dinero de la cuenta bancaria de la víctima. Como regla general, una vez recibidos los datos de la tarjeta, el cardador los utiliza para pagar diversos bienes, servicios, préstamos, etc. El proceso de pago de compras con la tarjeta de otra persona se llama cardado .
- Motivator brinda apoyo moral a los estafadores. Su tarea es asegurarse de que la pandilla se mantenga concentrada y no se desanime. El motivador ofrece podcasts y apoyo en mensajes personales: una oportunidad para discutir cualquier problema, incluidas cuestiones personales no relacionadas con el fraude. Sólo las grandes operaciones tienen los fondos para contratar a un “empleado” de este tipo. El motivador trabaja por un porcentaje del dinero robado.
- El especialista en marketing es responsable de las campañas publicitarias y del diseño y apariencia de los bots y los materiales que los acompañan, principalmente en plataformas de la web oscura y canales de Telegram para estafadores. Se necesita publicidad para atraer nuevos trabajadores .
- El trabajador es un estafador que engaña directamente a las víctimas: encuentra anuncios, les responde, convence a la víctima para que siga un enlace de phishing, etc. Los trabajadores se diferencian de los estafadores habituales sólo en que trabajan para un grupo y hacen uso de sus herramientas y soporte. Como pago, los trabajadores reciben los fondos que roban, menos una comisión. El proceso de defraudar a las víctimas se llama trabajo .
- Mentor es un trabajador experimentado asignado a un recién llegado.
- Consummator es una mujer que anima a un hombre a comprar regalos y le estafa dinero. Este rol se ofrece a todas las mujeres que se unen a grupos cerrados donde los estafadores se comunican entre sí.
Otros términos de estafa que vale la pena destacar son: - Un usuario confiado que ya ha sido engañado se llama mamut .
La cantidad de dinero en la tarjeta cuyos datos ingresó la víctima en un sitio web de phishing se llama registros . - La cantidad debitada de la tarjeta de la víctima se llama ganancia .
Los grupos se comunican en grupos y canales cerrados en Telegram, donde buscan nuevos trabajadores, apoyan a los bots para crear enlaces de phishing, rastrean los clics en los enlaces enviados y mantienen estadísticas sobre cada caso y las ganancias de los trabajadores individuales y del grupo en su conjunto. .
Seguir leyendo en…
