Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Detectada una campaña de intento de fraude a través de aplicaciones de compraventa como Wallapop y mediante un phishing a DHL

Fecha de publicación 04/03/2020
Importancia
3 - Media
Recursos Afectados

Todos los usuarios con cuenta en Wallapop y que tengan a la venta algún producto. Aunque este tipo de fraude podría ser utilizado en otras aplicaciones de características similares.

Descripción

Se han detectado varios casos de intentos de fraude, cuyo origen se encuentra en un contacto interesado en comprar un producto a través de una aplicación de compraventa de artículos de segunda mano, en concreto Wallapop. El ciberdelincuente redirige la comunicación hacia el correo electrónico, mediante el que trata de engañar al vendedor para que le envíe dinero a través de tarjetas prepago, o le dé sus datos bancarios mediante un phishing realizado a DHL.

Solución

Si recibes un mensaje a través de Wallapop o cualquier aplicación de compraventa de un usuario interesándose por uno de tus productos, pero este te pide que le contactes por correo electrónico, no hagas caso, probablemente se trate de un fraude. Denuncia al usuario con las opciones de reporte de la propia aplicación.

Si alguien quiere adquirir alguno de tus productos a distancia, exige que realice la transacción dentro del sistema de Wallapop envíos (o la aplicación que estés utilizando) para que el pago esté protegido y no correr riesgos.

Nunca debes dar a tus supuestos compradores, ni a su supuesta empresa de transporte tus datos personales, como el domicilio o datos bancarios, ni adquirir ningún tipo de tarjeta de prepago online.

Adicionalmente sigue los consejos de seguridad de Wallapop, entre ellos:

  • Si al chatear con la persona no te inspira confianza o dudas de la veracidad de su perfil, busca otro, seguro encuentras a otro usuario que te inspire más confianza y seguridad.
  • Mira el perfil del comprador para ver sus valoraciones anteriores y su verificación de perfil.
  • Las ofertas de compradores extranjeros que ofrecen más dinero de lo normal por el producto y se ofrecen a asumir los gastos de envío acostumbran a ser fraudes. Si detectas este tipo de oferta, repórtala a través de la app y no envíes el producto hasta que no te confirmemos que se trata de un comprador fiable.
  • Te recomendamos realizar todas las gestiones y conversaciones mediante nuestro chat interno.
  • Evitar los pagos a distancia o mediante transferencias.

En caso de haber sido víctima de este tipo de fraude, y haber realizado el pago indicado, procede a interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Guarda todas las evidencias de las que dispongas para que puedas demostrar los hechos denunciados.

En el caso de haber facilitado datos personales y bancarios (por ejemplo número de tarjeta, fecha de caducidad y código de seguridad), contacta lo antes posible con tu entidad financiera para informarles de lo sucedido.

Para más información sobre cómo gestionar tus compras online de manera segura, consulta la siguiente campaña de concienciación: Compras seguras online.

Detalle

Los mensajes detectados en esta campaña de fraude muestran interés por alguno de los artículos publicados a la venta, pidiéndole a la posible víctima confirmar su disponibilidad y seguir el contacto a través de un correo electrónico personal.

Mensaje fraudulento recibido en Wallapop

Una vez contactado al correo indicado, se han detectado diferentes tipos de respuesta, pero siempre tratando de obtener información personal como el nombre, dirección y teléfono, con la que justificar un servicio de recogida del producto a través de una empresa de logística y transporte.

Mensaje fraudulento en el correo electrónico, siguiendo una compraventa iniciada en Wallapop

En el caso de facilitar estos datos, el supuesto comprador nos pide revisar una notificación que debemos haber recibido en nuestro correo electrónico de la empresa de transporte.

Este nuevo correo electrónico se trata de un phishing, o suplantación de identidad, a la empresa de logística y transporte DHL, donde intentarán engañar al usuario para que facilite datos personales, bancarios, o incluso intentando que se realice la compra de tarjetas de prepago online para facilitar su código a la supuesta empresa de transporte para efectuar el envío.

Mensaje de phising suplantando la identidad de la empresa de transporte DHL

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de Twitter @osiseguridad y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad dirigidos a ciudadanos. También ponemos a tu disposición la Línea de Ayuda en Ciberseguridad de INCIBE 017.