Sin duda el Black Friday es una de las fechas más destacadas del año para realizar compras online. Este último viernes de noviembre se convirtió en un feliz día para muchos internautas tras conseguir esa ganga online tan buscada pero, a veces, “Lo barato sale caro”.

Algunos compradores no eran conscientes de que habían sido víctimas de una ciberestafa, y mientras ellos esperaban sus fabulosas compras en sus hogares, los ciberdelincuentes vaciaban sus cuentas bancarias y eliminaban sus webs fraudulentas.

Este artículo recoge hechos y datos reales de una ciberestafa donde un grupo organizado de ciberdelincuentes estafaron a cientos de españoles en un fin de semana.

Durante la investigación iré mostrando detalles y consejos a tener en cuenta antes de realizar cualquier compra online, pudiendo ser utilizada como guía para evitar que otras personas puedan ser víctimas de una ciberestafa.

Vivencias de un estafado

JCCM (siglas de la persona estafada) accedió al sitio web con la idea de comprar una Nintendo Switch Lite para regalar en navidades aprovechando el fin de semana de Black Friday y conseguir ese “chollo” que él andaba buscando.

Desde Google, encontró un enlace directo a la videoconsola que estaba buscando con el dominio www.tecnologia24h.com. La web no le pareció para nada sospechosa, contaba con certificado SSL (conexión segura/candadito verde), diseño profesional, un sitio recomendado por otros compradores en blogs y foros muy conocidos en Internet.

Los precios eran muy buenos y se decidió acomprar rápidamente porque quería recibir su compra entre el lunes y el martes de la semana siguiente, antes de que acabara la semana de Black Friday.

Tras registrarse en el sitio con sus datos personales, realizó la compra y recibió este correo electrónico del sitio web tecnologia24h.com el 30 de noviembre de 2019:

: Email donde incitan a la víctima en realizar pago por transferencia.
Email donde incitan a la víctima en realizar pago por transferencia.

Con los datos enviados por la empresa, se fue a su banco habitual a realizar el ingreso bancario desde el cajero automático. Feliz con su ganga, esperó hasta el lunes día 2 de diciembre de 2019, cuando fue a comprobar el estado de su pedido y la página donde realizó la compra no existía y había otra en su lugar.

Por un momento pensó que había escrito mal la dirección, pero las dudas desaparecieron cuando buscó el enlace enviado a su correo electrónico y la dirección le abría la misma y vacía página web.

En ese preciso momento, se dio cuenta que había sido víctima de una ciberestafa y que no tenía ninguna idea de que procedimiento seguir para recuperar su dinero.

¿Desde dónde se realizó la estafa?

La estafa se realizó desde dos plataformas de compras online con los dominios toyspla.net y tecnologia24h.com. En el primer domino suplantan la identidad corporativa de la marca Toys Planet para mover la estafa y, en el segundo, una tienda online con marca propia. Esta última ha sido el sitio web utilizado en España para la compaña “Black Friday 2019”. Si nos fijamos en la fecha de creación del nombre de dominio, los ciberdelincuentes lo registraron pocos días antes del viernes negro.

Fecha de creación del dominio tecnologia24h.com
Fecha de creación del dominio tecnologia24h.com

En tan corto plazo de tiempo, consiguieron que los buscadores principales como Google indexaran su contenido rápidamente para posicionar los sitios fraudulentos en las primeras diez páginas de búsqueda. Por eso, en casos como este, es siempre interesante comprobar comprobar la fecha de creación y los datos del registrante del dominio. Para hacerlo, podéis recurrir a esta herramienta online y gratuita.

Otro punto que debemos tener muy en cuenta es el bajo precio de los productos, si comparamos estos con otros sitios web de la competencia, podemos evidenciar diferencias de precio entre 40€ hasta 100€. Este es el gancho que utilizan los ciberdelincuentes para que nos ceguemos en realizar la compra en su sitio pensando que estamos antes un “chollazo”. ¡Claro! Estamos en Black Friday ¿Qué puede salir mal?

Otra forma que nos puede ayudar a evidenciar que se trata de un timo son los errores tipográficos y ortográficos en el sitio. Por ejemplo, esta imagen muestra como el precio original y rebajado es el mismo en varios productos ofertados en su página principal.

Productos ofertados con el mismo importe.
Banner con métodos de pago.

Los párrafos mal traducidos y que carecen de sentido, también son una pista a tener en cuenta. Asimismo, la forma de pago que nos ofrecen en el sitio web es otro punto que tomar en consideración.

En este caso, aunque el sitio muestra logotipos de Visa y MasterCard, este solo aceptaba pagos por el servicio PayPal y transferencias bancarias, algo muy extraño y sospechoso en sitios web de esta índole.

De igual modo, antes de realizar una compra online haciendo uso de algunos de los métodos de pago anteriormente mostrados, debemos de hacernos las siguientes preguntas ¿Quiénes son? ¿Dónde están?

En el pie de la página web muestra un CIF (Código de Identificación Fiscal).

CIF utilizado en el sitio web.

Lo curioso es que el CIF ya no se utiliza como método de identificación en España desde el año 2008, sino que este pasó a convertirse en lo que hoy llamamos NIF (Número de Identificación Fiscal).

Igualmente, veamos cómo podríamos averiguar datos de la empresa por medio de su CIF o NIF en Google o por el nombre de su razón social u actividad en este portal. Si evidenciamos los supuestos datos fiscales de la empresa, podemos comprobar que su actividad empresarial no corresponde con la venta de productos tecnológicos… por lo que nos encontramos ante una suplantación de identidad evidente.

Supuestos datos de la empresa.

Siguiendo la pista a los estafadores

Como ya podemos imaginar, los ciberdelincuentes son grupos muy bien organizados y con conocimientos avanzados en hacking, programación, informática e incluso en leyes. Por lo que seguirles la pista es muy complicado, además de dejarles este trabajo a las fuerzas del estado (policía o guardia civil) donde cuentan con profesionales altamente cualificados.

Alternativamente a esto y como método para obtener más información sobre un sitio web, persona o empresa, podríamos geolocalizarlos por la dirección IP.

¿Pero tenemos su dirección IP? Sabemos su nombre de dominio y también tenemos un email que algún sistema automatizado o persona nos ha enviado para que hagamos esa transferencia bancaria. Por lo tanto, contamos con al menos dos direcciones IP que nos puede servir para geolocalizar sus servidores, estos nos ayudaría con la credibilidad del sitio.

Obteniendo dirección IP del dominio web tecnologia24h.com:

Aunque en sistemas UNIX tenemos comandos específicos, vamos a apoyarnos con esta herramienta online y gratuita: check-host.net.

Geolocalización por dirección IP o dominio.

Como se puede apreciar, el servidor web se encuentra en Bratislava (Eslovaquia), algo muy sospechoso en una empresa española.Si existían dudas, con esta evidencia queda clarísimo que sería un grave error por nuestra parte realizar cualquier compra en este sitio web.

Analizando las cabeceras del correo enviado por tecnologia24h.com

Contamos con un email que hemos recibido de la supuesta web fraudulenta con los datos bancarios para que realicemos la transferencia y pagar el producto que hemos comprado.

Aquí os dejo un enlace que explica cómo obtener las cabeceras dependiendo del servicio del correo que utilicemos. Disponiendo ya de las cabeceras, solo nos queda rastrear el correo con esta herramienta que Google nos presta de manera gratuita:

Conociendo la dirección IP desde donde ha sido supuestamente enviado el correo, podríamos probar a geolocalizarla con esta nueva herramienta. En este caso, la dirección IP corresponde a un equipo de una red interna. La pista de nuestro sospechoso acaba aquí.

Cómo identificar un sitio fraudulento

  • Revisar la fecha de creación del dominio web y revisión de datos del registrante (estos datos pueden estar protegidos).
  • Huir de exageradas diferencias de precio en comparación con la competencia.
  • Errores tipográficos y/u ortográficos, fragmentos de textos mal traducidos y/o que carece de sentido.
  • Métodos de pago NO seguros.
  • Revisión de datos fiscales y localización por medio de su nombre, NIF, teléfono, correo electrónico o actividad de la empresa.
  • Nunca estará de menos revisar la procedencia de sus servidores, países como Eslovaquia, Croacia, Rusia, China o Nigeria son bastantes utilizados por ciberdelincuentes.
  • Analizar cabeceras del correo para rastrear su procedencia, siempre nos puede ayudar averiguar la legitimidad de un correo.

Soy víctima de una ciberestafa ¿Qué debo de hacer?

Lo primero que debes de hacer es ir al banco desde donde has realizado la transferencia bancaria y solicitar el retroceso o cancelación de la misma. Es muy probable que el banco te cobre una comisión (aproximadamente 10€) por realizar la gestión.

Tras la solicitud, deberás de ir a la comisaría de la policía nacional o a la guardia civil a denunciar los hechos, todas las pruebas son buenas (capturas de pantallas, dominios web utilizados, copia del correo electrónico, cuenta bancaría, etcétera).

La cancelación de la transferencia dependerá del tiempo transcurrido desde la fecha de la transferencia, si el pago ha sido realizado dentro de las 24 horas, es posible la cancelación y recuperación casi en el acto desde la propia aplicación del banco. De lo contrario, deberás de esperar unos días hasta que el banco o fuerzas del estado te informen.

Final feliz para muchas de las víctimas

Tras realizar los pasos anteriores, muchas de las víctimas han logrado recuperar su dinero a los pocos días, otros aún no, pero estoy seguro de que tanto la entidad Bancaria, la policía y guardia civil están haciendo todo lo posible.

Podéis seguir el hilo abierto por las víctimas desde esta dirección: https://www.signal-arnaques.com/es/scam/view/190576

Espero que este artículo nos sirva a todos para protegernos de los peligros que existen en la red. Los ciberdelincuentes no cumplen un horario de oficina, no descansan y siempre estarán un paso por delante de nosotros.

Compartir
Artículo anteriorRondas de inspección en mantenimiento SAP
Artículo siguienteMentalidad cloud: 5 lecciones sobre los proyectos en la nube
mm
David Utón Amaya (@David_Uton). Ingeniero de Seguridad en el Red Team de Sothis. Auditor de seguridad de aplicaciones Web, redes perimetrales, infraestructuras corporativas internas, y redes inalámbricas. Entusiasta de la ciberseguridad. Participante activo en retos de seguridad y CTF.