Nunca debes hacerte una foto con tu tarjeta, aunque te lo pida “PayPal”
Cada vez es más frecuente utilizar distintos métodos de pago online para realizar todo tipo de compras a través de Internet. La forma más habitual de pagar a través de la red es utilizando nuestra tarjeta de crédito o débito, ya sea a través de un TPV virtual o vinculada a otras plataformas como PayPal. Por ello, cada vez es más frecuente que los piratas informáticos busquen la forma de aprovecharse de esto para engañar a los usuarios y poder, por ejemplo, robarles los datos de la tarjeta para realizar sus propios pagos fraudulentos.
Tal como podemos leer en Bleeping Computer, un grupo de piratas informáticos está llevando a cabo una campaña de phishing a través de Internet con la que se está haciendo con los datos de las tarjetas de crédito y de identificación de un gran número de víctimas.
La web falsa de PayPal que te pide una foto con tu tarjeta para verificar tu identidad
A diferencia de otras campañas donde los piratas informáticos suelen buscar técnicas muy complejas para engañar a las víctimas, esta nueva campaña es realmente simple. Cuando el usuario accede (por ejemplo, por una redirección) a la página maliciosa, que es idéntica a la web de PayPal, e intenta iniciar sesión, además de quedarse con los datos de esta plataforma, los piratas van más allá.
Una nueva página de verificación de identidad pide a las víctimas que, para poder asegurar su identidad, debe hacerse una foto en la que salga su tarjeta de identificación (DNI, en España) y su tarjeta de crédito asociada y la suba a la plataforma. Al hacerlo, hemos enviado a los piratas informáticos toda nuestra información de pago.
Aunque no está muy claro el uso que hacen los piratas con estos datos, se cree que los puedan estar utilizando para comprar criptomonedas y, así, poder blanquear fácilmente todo el dinero robado.
Una técnica similar fue utilizada por el troyano bancario para Android Acecard, que cuando las víctimas intentaban entrar a la web o app de su banco les pedían que se hicieran una foto con sus tarjetas, fotos que, después, eran enviadas a los piratas quienes las utilizaban para realizar compras fraudulentas a través de Internet.
No siempre son los piratas informáticos los que incitan a esta práctica
Aunque en esta ocasión se trata de una campaña de phishing bastante compleja, no es la única que puede salirnos cara. En verano de 2015, el banco Evo Banco llevó a cabo un peligroso concurso en el que pedía a sus clientes que se hiciesen una fotografía con su tarjeta en la playa, piscina, etc. Y hubo gente que sí, lo hizo y las subió a sus redes sociales sin darse cuenta de que en la foto aparecían la mayor parte de los datos de la misma, el número, la fecha y el nombre de la misma, a falta solo del CVV.
Por ello, ya sea a través de una campaña maliciosa como esta de PayPal o por un inocente sorteo como el de Evo, nunca debemos hacer una foto a nuestra tarjeta de crédito o débito, y mucho menos mandarla por Internet a otra personal (absolutamente ningún servicio nos pedirá una foto nuestra con nuestra tarjeta ni con nuestro DNI) ni, bajo ningún concepto, publicarlo en las redes sociales.
¿Has visto alguna vez otras campañas de phishing similares?
Via: www.redeszone.net