MENÚ

Cuidado con el nuevo timo a los vendedores de Milanuncios: te envían un link de la web clonada para obtener tus datos bancarios

Publicado Nov 10, 2021, 8:17:00 AM
Comparte

Ni una semana ha pasado desde que os alertamos del timo en el que te escriben para comprar un producto que vendes en Milanuncios y te envían una solicitud de pago por Bizum para que sea el vendedor el que desembolse el dinero en lugar de el comprador. 

Fue el caso de María Emilia, una lectora de Maldita.es que vende productos de segunda mano a través de esa empresa.

De nuevo María Emilia ha vuelto a ser víctima de otro intento de estafa, también a través de la web de Milanuncios, aunque esta vez no han utilizado el método de Bizum, sino que han optado por clonar el portal de anuncios, con el fin de obtener sus datos bancarios. Os contamos en qué consiste:

Un supuesto comprador se pone en contacto con la vendedora mediante WhatsApp y le envía un link para que introduzca sus datos bancarios

María Emilia recibió un WhatsApp de un supuesto comprador asegurándole que ya le había pagado por una radio que esta vendía en Milanuncios por 115 euros. No obstante, aunque aseguraba haber hecho el pago, le envió un link para que la vendedora también indicase sus datos bancarios para, supuestamente, recibir el dinero. Ojo, porque es aquí donde está la estafa: Milanuncios nunca pide al vendedor que proporcione sus datos para recibir un pago.

Mensaje de WhatsApp que recibió María Emilia

El mensaje de WhatsApp del supuesto comprador incluía una URL muy similar a la de Milanuncios, la cual llevaba a una página en la que también suplantaban el diseño de este portal de compraventa. Es allí donde pedían a la vendedora que introdujera sus datos bancarios.

En Maldita.es hemos intentado acceder al link (milanuncios.space/79986989864) pero ya no está disponible. No obstante, Maria Emilia nos ha enviado las capturas de la página a la que le dirigía. Como podemos observar, a primera vista no hay nada que nos haga sospechar: la web se parece a la de Milanuncios, hay datos del comprador, un tal Rafael .A, e indica que este “ya ha pagado el pedido”.

Página clonada de Milanuncios

Si hacemos clic sobre el botón “Conseguir fondos”, nos pide que ingresemos nuestros datos bancarios.

Otras características que puede que no nos hagan sospechar de que se trata de una estafa es que si pinchamos sobre la parte donde pone “milanuncios”, nos lleva a su web original. Además, la web clonada cuenta incluso con un chat al que María Emilia escribió pero no obtuvo respuesta.

Conversación de María Emilia en el chat de la página que suplantaba a Milanuncios

Asimismo, podemos ver, al final de la página, que te aseguran que “a través de Milanuncios Express se garantiza que las transacciones sean 100% seguras”.

De hecho, según hemos podido comprobar en Maldita.es, dentro de la web original Milanuncios existe una pestaña llamada Milanuncios Express, aunque en ningún momento piden al vendedor su datos bancarios. La finalidad de este servicio es asegurarse que el comprador recibe el producto, por lo que retienen su dinero y se lo envían al vendedor una vez que el producto ha llegado con éxito.

Pestaña de Milanuncios Express en la página original de Milanuncios donde informan cómo funciona

Milanuncios asegura que nunca te van a pedir “los datos de tu tarjeta para recibir un pago”

Ante la sospecha de un posible intento de estafa, María Emilia se puso en contacto con Milanuncios para trasladarles sus dudas ya que, siempre que le han hecho una oferta para un producto que vendía ha recibido un email de la empresa comunicándole que había recibido una oferta y nunca antes le habían pedido que proporcionase sus datos bancarios a través de un link. 

Efectivamente, Milanuncios le ha asegurado que el enlace no es de la empresa, por lo que se trata de un “intento de estafa” y que “nunca” van a “pedirte los datos de tu tarjeta para recibir un pago”. Por otro lado, indican que cuando alguien vaya a realizar una compra “siempre” recibirá “un aviso en el chat” de la plataforma de Milanuncios “y un email informativo con la oferta”. Además, le piden que lo denuncie ante la policía para que investiguen el intento de estafa.

En Milanuncios, además, conscientes de que existen estos tipos de fraudes mediante la técnica del phishing, han incluido en su página web una sección en la que recopilan algunos consejos.

El intento de estafa se extiende: María Emilia no es la única víctima *

Javier es otro vendedor de Milanuncios que al ver esta publicación se puso en contacto con Maldita.es para contarnos que también habían intentado estafarlo por la misma vía que a María Emilia.

A este también le escribieron por WhatsApp, supuestamente desde Bande (Ourense), preguntándole por unas placas de calefacción que tenía en venta por 160 euros.

Tras una conversación sobre cuál era el estado de las placas, la persona interesada le indica a Javier que está decidida a comprarlas y que asumirá cualquier tipo de gastos de envío.

A pesar de que Javier ofrece proporcionarle el número de cuenta para que le haga el ingreso, esta persona insiste en hacerlo a través de Milanuncios, indicándole que recibirá los fondos en su cuenta y “el mensajero” lo llamará. Al igual que le ocurrió a María Emilia, le envía el enlace, el cual ya no está activo, para que sea el vendedor el que proporcione los datos bancarios.

Se trata de la misma página web clonada que suplanta a Milanuncios Express e indica que el comprador ya ha pagado y le pide que ingrese sus datos.

Javier explica a Maldita.es que introdujo sus datos bancarios pero no puso ninguna cantidad. En la siguiente imagen podemos ver que una vez proporciona el número de tarjeta, le piden que ingrese “el saldo actual” que tiene en la cuenta bancaria y que “para confirmar su tarjeta en el sistema de Milanuncios”, tienen que “cargar temporalmente una cierta cantidad”, la cual dependerá de “su banco”. No obstante, al ver que era un fraude, Javier bloqueó la tarjeta.

Asimismo, el vendedor afirma a este medio que se puso en contacto también con el chat que aparece en la página clonada y asegura que todas las indicaciones de este eran “referentes a que debía poner una cantidad de dinero. Como no lo hacía, entonces el timador me preguntaba que si lo había solucionado y uno se da cuenta que el timador, es el mismo que el que interviene en el chat”, indica Javier a Maldita.es.

Según explica Javier, las veces que ha vendido en Milanuncios, el comprador “se ha puesto en contacto” con él por teléfono y ha realizado la venta por “contrareembolso por correo”. En los casos en los que no ha puesto el número visible en la web, indica que el comprador ha contactado con él mediante correo electrónico a través de la página de Milanuncios “que da el aviso de que hay una persona interesada”, como explicaron desde la empresa a María Emilia.

Clonan webs para llevar a cabo estafas mediante la técnica del phishing

José Carlos García Gamero, analista de ciberseguridad en EY y maldito que nos ha prestado sus superpoderes explica a Maldita.es que en este caso, han tratado “de personalizar un phishing mediante una clonación de una página web, algo “ bastante sencillo”. Esto también lo hemos visto en los casos de las estafas a través de SMS que suplantan a bancos y que pueden clonar la aplicación de estos una vez te descargas un archivo malicioso a través de un link que te envían. 

El motivo por el que nos da error cuando entramos en el enlace, se debe, según García Gamero, a que “posiblemente esa URL está activa por un tiempo y después la desactivan”. No obstante, no distingue si es la víctima la que accede u otras personas ajenas, aunque es probable que la víctima pueda entrar por un tiempo más prolongado, por tener “todavía la página en caché”.

El analista de ciberseguridad nos ha proporcionado algunos consejos para evitar ser víctimas de este tipo de fraudes:

  • No fiarse solo porque la página web tenga el candado verde en la barra de navegación, esto no quiere decir que sea segura, solo que la comunicación entre el navegador y el servidor va cifrada. 
  • Si nos envían un correo de una red social o de un banco o cualquier otra página o aplicación, en vez de pinchar directamente en el link, es recomendable poner nosotros el dominio original en el navegador. Si tenemos algún tipo de notificación nos aparecerá ahí.
  • Fíjate en cómo funciona la página web en la que vendes un producto e infórmate en qué circunstancias te piden tus datos bancarios.
  • Desconfiar, por defecto, de todo lo que nos llegue por correo o por cualquier medio de comunicación, incluidas las llamadas telefónicas, si el remitente es desconocido para nosotros.
  • No dar nunca datos personales, bancarios, etc si tenemos sospechas.
  • No fiarse de llamadas o correos electrónicos en los que quieran que instalemos software de control remoto para un supuesto soporte técnico, como es el caso del timo de Microsoft.

Si has sido víctima de este timo o de cualquier otra estafa realizada a través de una página de compraventa, cuéntanos tu caso mandando un correo a [email protected].

En este artículo ha colaborado con sus superpoderes el maldito José Carlos García Gamero, analista de ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

*Este artículo ha sido actualizado el 19/05/2021 con el testimonio de Javier.


Primera fecha de publicación de este artículo: 13/05/2021