#MundoHacker: ¿Cómo le robaron 1.200 euros a un compañero en apenas unas horas?

pagina fake kickstarter

Este fin de semana la guardia civil detenía al que ya es considerado como el mayor ciberestafador de la historia de España (ES). Un chaval leonés de 23 años que junto con un compañero informático habrían presuntamente estafado a unas 2.400 personas, facturando una media de 300.000 euros mensuales.

El cómo lo hacían no es ninguna novedad para alguien que esté al tanto de cómo funcionan los fraudes en la Red.

publicidad cambiada facebook ads
Ejemplo de cómo unos cibercriminales cambiaron una publicidad legítima por otra fake en una cuenta de Facebook Ads robada

Desde el punto de vista del cibercriminal

Estas dos personas habían creado una infraestructura de 27 páginas web que se hacían pasar por tiendas online conocidas, con dominios homográficos o con palabras parecidas a los nombres de las marcas a las que estaban usurpando la identidad (instatgaming en vez de instantgaming, humelbundles en vez de humblebundle…), con un diseño clonado, y por supuesto ofertas irresistibles.

Y redirigían a las víctimas a estas webs fraudulentas utilizando diferentes canales, siendo el principal productos ofrecidos supuestamente por la cuenta oficial de la tienda en Wallapop.

Además, habían incluso diseñado un sistema para robarles las cuentas personales, y de ahí usurparles la identidad, presumiblemente para publicar luego desde ellas anuncios en nombre de estas personas y también para robarles directamente el dinero de la cuenta corriente.

El ataque era el siguiente:

  1. En muchas de estas páginas pedían el número de teléfono: Algo relativamente normal en una tienda de comercio electrónico.
  2. Con el número, llamaban a la persona que había realizado el pedido para animarla a que se instalase una app que le iba a permitir realizar el tracking de su pedido, y que por supuesto le enviarían ellos mismos desde el whatsapp o desde el mail, sin pasar por Google Play o la App Store: De nuevo algo que podría ser totalmente normal (descontando lo último, claro), y que hasta dota de mayor confianza a la víctima, como veíamos en aquella campaña que te conté hace tiempo sobre cómo estafaron a mi pareja con un producto vendido vía publicidad en Instagram.
  3. La aplicación, por supuesto, pedía permisos de lectura de SMS: Justo lo que ya expliqué que es necesario para recuperar una cuenta y ampliamente utilizado en buena parte de fraudes online, y en la mayoría de casos, para pasar un doble factor de autenticación.
  4. Con la aplicación instalada en el dispositivo de la víctima, los cibercriminales tan solo tienen que entrar en su correo y restaurar contraseña, utilizando como sistema de identificación el número de teléfono. Y con la contraseña cambiada, hacer lo propio en su cuenta bancaria y/o perfiles sociales. Hace ya unas semanas expliqué por aquí cómo en apenas un par de horas le robaron a un ingeniero (es decir, alguien con conocimientos técnicos avanzados, no un usuario de la calle) todo su dinero de una cartera virtual utilizando un proceso semejante, así que no me voy a repetir.
facturas pagadas publicidad fake
Extracto de pagos realizados desde la cuenta de Facebook Ads de la víctima

Desde el punto de vista de la víctima

De pura casualidad justo cuando salió esta noticia Jose (me ha pedido que no de su nombre real), un compañero de profesión, me llamaba para pedirme consulta con un problema que le acaba de ocurrir.

La cuestión es que se había dado cuenta de que le habían robado 1.200 euros en menos de una jornada.

El proceso resumido fue el siguiente:

  • Su mujer, al intentar entrar en Instagram desde el ordenador, clicó en lo que a todas luces ahora sabemos que era una página de phishing. La página era idéntica a la página de login de Instagram, y la pobre mujer metió su usuario y su contraseña, para luego ser redirigida a la web oficial y entrar sin problemas en su cuenta. Pero el daño ya estaba hecho.
  • A los pocos días (se toman su tiempo precisamente para no levantar sorpresas y que ya no recuerdes ni puedas identificar cómo te engañaron), apareció en su cuenta una publicación de la típica oferta de gafas de sol super rebajadas: Seguro que la has visto ya en más de una ocasión a algún amigo en Facebook o Instagram cuya cuenta han robado, o cuyo acceso a la cuenta los cibercriminales han conseguido en base a comprar aplicaciones con permisos de acceso a dichas cuentas (los clásico juegos virales de ¿A qué persona de Juego de Tronos me parezco?).
rayban fraude instagram
Ejemplo de campaña fake de venta de gafas Ray Ban a precios disparatados
  • No contentos con ello, accedieron también a su cuenta de Facebook (y quien sabe si más, ya que como la mayoría de usuarios utiliza el mismo usuario/contraseña para todas sus cuentas…), para darse cuenta que la mujer tenía creada y en activo una campaña publicitaria en Facebook Ads (trabaja también con temas digitales).
  • Y aquí viene la guinda del pastel: Modificaron el anuncio existente, cambiándole la URL y el texto por un anuncio que incitaba a comprar una aspiradora con una oferta irresistible en una página falsa (la imagen que encabeza este artículo). Y de paso, le cambiaron también el presupuesto diario hasta los 1.500 euros, pasando de un pago por visualización a un pago por comisión.

Un aumento, de hecho, que hicieron de forma paulatina: primero 20€, después 6 veces renovaron por 40€ y luego barra libre hasta los 1.500€. Para cuando Jose y su pareja se dieron cuenta, el total del gasto ascendía a 1.200€ en menos de un día.

Y porque la cuenta de PayPal asociada lanzó una serie de alertas vía mail de falta de saldo.

ejemplo publicidad fake
La publicidad que empezó a mostrar la cuenta publicitaria de la pareja de Jose

¿Cómo han hecho para recuperar el dinero robado?

Me contaba por email los pasos que ha llevado a cabo, y que afortunadamente se han saldado con la devolución por parte de Facebook del dinero robado.

  1. Viernes a las 9am le llega un aviso de PayPal de falta de fondos. Sorprendido entra en la cuenta y descubre el pastel.
  2. Indaga un poco qué le podría haber pasado, y hablándolo con su mujer, ésta le dice que hace unos días restauró la contraseña de Instagram porque al entrar en la cuenta desde el PC la aplicación le pidió un cambio de contraseña «por seguridad»: Aquí está la campaña de phishing.
  3. Le vuelve a cambiar la contraseña de la aplicación, también la de Facebook y le implementa el double opt-in (segundo factor de autenticación, para que nos entendamos): Muy bien Jose, ¡muy bien!
  4. Hace Administrador de Facebook Ads a un nuevo usuario y elimina todos los antiguos: A veces lo más drástico es lo mejor.
  5. Escribe a Facebook reportando la incidencia y se da cuenta de que Face ya había cancelado el anuncio por actividad inusual. Para variar no le contestan, y en ese momento me llama y le recomiendo mientras estamos al teléfono algunos pasos extra.
  6. Entra en PayPal y ve que no puede cancelar los métodos de pago.
  7. Vuelve a Facebook Ads y elimina los métodos de pago, dejando solo una tarjeta que el cibercriminal ha introducido. Ya te digo yo que es falsa, o más probablemente robada.
  8. Se pone en contacto con PayPal y, como era de esperar, le deniegan la reclamación por entender que las operaciones son autorizadas. Realmente a ojos de PayPal, Facebook (una cuenta verificada) le ha pedido dinero a tu cuenta. Aquí hay poco por donde rascar…
  9. Cancela los acuerdos SEPA con PayPal eliminando así el que puedan cobrar de las 2 cuentas corrientes que tiene. 
  10. Vacía las cuentas del banco transfiriendo los fondos a otras cuentas propias de la misma entidad (bendito traspaso instantáneo sin comisiones): Así evitamos mientras tanto que se cobren más pagos indebidos, pero lo cierto es que los pagos ya realizados estarán ya en trámite y por tanto no habrá manera de bloquearlos.
  11. Como no puede eliminar las tarjetas como medio de pago en PayPal por estar inmerso en un conflicto y con la cuenta en negativo, denuncia la perdida de las mismas a la entidad financiera. La putada es que justo estamos a viernes de tarde, y por tanto no hay bancos abiertos que puedan bloquear directamente las transacciones en curso.
  12. En este punto PayPal no tiene por donde cogerle (no es una solución definitiva porque siempre sería moroso y le podrían reclamar, pero de momento la sangría se para).
  13. Vuelve a contactar con Face sin respuesta satisfactoria.
  14. Vuelve a contactar a Paypal nuevamente y le indican que al tratarse de unas operaciones pre-aprobadas por contrato (por un lado entre el usuario y Facebook, por otro entre el usuario y Paypal, y finalmente con la petición por parte del usuario a Paypal para que adelante los pagos a Facebook de su cuenta) no pueden hacer nada. No hay seguro disponible para operaciones legales. La argumentación es: usted ha creado un anuncio y facebook se lo ha publicado, usted debe pagarlo si le han suplantado la identidad y/o hackeado. No es culpa de Paypal.
  15. Cerrada la posibilidad de negociación con PayPal por esta vía, llama varias veces al número de teléfono de Facebook que le facilitan sin conseguir nada.
  16. Y es entonces cuando se le enciende la bombilla. A sabiendas que hay un contrato a tres bandas, ¿qué pasaría si declaramos que es incumplimiento contractual?
  17. 5ª o 6ª llamada a PayPal. Ya hasta tienen la caradura de dejarle en espera 25 minutos hasta que llama desde otro móvil y amenaza con seguir llamando desde diferentes teléfonos. Le pasan por fin con resolución de incidencias.
  18. Ante lo que parece el responsable de resolución de incidencias Jose acepta el haber realizado un pedido a Facebook (aunque lo hiera un tercero desde su cuenta) pero esta vez la reclamación no es ésta, sino que Facebook no le ha entregado lo contratado (la publicidad que tenía su pareja en la cuenta), por lo tanto la transacción no se ha cumplido. Evidentemente Jose contrató un anuncio de promoción de un post para conseguir difusión y visitas web de un site específico, y obtuvo una campaña enfocada a conversiones para un site de venta de aspiradoras que nada tiene que ver con el suyo, ni tampoco con los presupuestos asignados a las publicaciones. Facebook además tiene los datos de cuándo y desde dónde se han implementado los cambios, como la IP y datos de una tarjeta que no es suya. Es decir, que aquí la reclamación no es sobre el pago en sí, sino sobre la base del negocio de PayPal: La seguridad de las compras en su plataforma. 
  19. Ahora como consumidor PayPal debería defender su caso ante Facebook. Y así lo hace. A las 19:15 recibe el primer email de Face de rembolso. Llama a PayPal y le confirman que están devolviendo los pagos.

Vamos, que para conseguir que le devolvieran lo robado no ha quedado otra que aceptar que el pago es correcto (aunque no lo sea), y argumentar que lo incorrecto es el servicio prestado, atacando directamente al seguro de pago de PayPal.

La única manera que tenemos de que nos hagan caso.

Por supuesto tras todo el jaleo, y ya sabiendo que en sucesivos pagos estaba ya recuperando el dinero robado, le ha tocado cambiar todas las contraseñas y activar el doble factor de autenticación en todas sus cuentas.

Y con el banco pedir el envío de nuevas tarjetas previa cancelación de las anteriores.

respuesta fraude facebook
Respuesta de Facebook tras todo el trajín de emails y llamadas entre la víctima, PayPal y Facebook

¿Qué podemos hacer para evitar ser víctimas de este tipo de fraudes?

Todo esto hubiera quedado en un mero susto sin importancia si:

De cara a evitar este tipo de ataques, lo más recomendable es tener en cuenta cómo funcionan los fraudes en la red, qué estrategias siguen los cibercriminales en las campañas de phishing, y sobre todo, tener bien segurizadas nuestras cuentas.

En definitiva, hacer todo aquello que recomiendo conocer y tener hecho de antemano en el Curso sobre Fundamentos de la Seguridad Digital.

¿Te preocupa tu presencia digital?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la presencia digital sana, ayudándote paso por paso a parametrizar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.


Espero que el caso de Jose le pueda servir a alguien más. Ya sea a ti o algún familiar o amigo. Al menos ha servido para que esta pareja se tome más en serio su presencia digital.

Y si estás o quieres evitar estar en una situación semejante, no dudes en ponerte en contacto conmigo. Me llevo dedicando años a la consultoría de reputación online, y en todo este tiempo me he encontrado con muchísimos casos semejantes, tanto que afectan a negocios como a profesionales y usuarios normales.

Cuéntame tu caso y te asesoro sobre la mejor manera de afrontar este mal trago.

Y muchas gracias a Jose por enviarme el vídeo con todo el proceso que he utilizado para documentar este caso.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.