De apps de citas a apps financieras: Así funciona la estafa CryptoRom
Los ciberdelincuentes también aprovechan San Valentín y la temática amorosa sobre la que se sustenta este día para llevar a cabo ciberataques.
La firma de seguridad Sophos recuerda el peligro de la estafa CryptoRom, basada en elaborados esquemas de fraude financiero que se aprovechan y engañan a usuarios de apps de citas para que realicen falsas inversiones en criptomonedas.
Su informe Aplicaciones fraudulentas de comercio de CryptoRom se cuelan en las tiendas de aplicaciones de Apple y Google alerta sobre las primeras aplicaciones falsas de CryptoRom, Ace Pro y MBM_BitScan, que han logrado eludir los estrictos protocolos de seguridad de Apple y Google.
Hasta ahora, los ciberdelincuentes se servían de técnicas de ingeniería social para convencer a las víctimas de que se descargaran aplicaciones ilegítimas que no estaban autorizadas por la App Store, pero han dado un paso más consiguiendo introducirlas en los markets.
CryptoRom es como se denomina a un tipo de fraude financiero oculto tras un enfoque romántico que utiliza la estafa conocida como ‘carnicería de cerdo’ o ‘pig butchering’, consistente en ganarse la confianza de las victimas para hacerles creer que pueden ‘engordar’ sus cuentas rápidamente.
Esta estafa organizada utiliza una combinación de ingeniería social centrada en apps de citas como Facebook Dates o Tinder con aplicaciones financieras y sitios web fraudulentos de criptomonedas que atraen a las víctimas para robarles el dinero después de haberse ganado su confianza.
En los últimos casos analizados, por ejemplo, los estafadores crearon y mantuvieron activamente un perfil falso de Facebook con la identidad de una mujer que supuestamente llevaba un estilo de vida lujoso en Londres. Tras entablar una relación con la víctima le sugerían que se descargarán la aplicación fraudulenta.
Sophos ha estado analizando durante los últimos dos años este tipo de ciberestafas, examinando cómo los ciberdelincuentes eludían los controles de seguridad de las Apps Stores y utilizaban métodos ad hoc para colocar aplicaciones maliciosas en los teléfonos de las víctimas.
En los últimos casos investigados, los atacantes contactaban a las víctimas a través de aplicaciones de citas y, más tarde, se les pedía que trasladaran su conversación a WhatsApp, donde finalmente se les inducía a descargar las apps maliciosas. La inclusión de estas apps fraudulentas en las tiendas oficiales de apps ha contribuido significativamente a mejorar la credibilidad de los atacantes.
Aplicaciones de CryptoRom en las app stores
Ace Pro en la App Store de Apple
Esta aplicación se describe en la página de App Store como una app de comprobación de códigos QR, pero se trata de una plataforma fraudulenta de comercio de criptomonedas. Una vez abierta, los usuarios ven una interfaz de inversión en criptomonedas en la que pueden depositar y retirar divisas.
Sin embargo, todo el dinero depositado va directamente a los estafadores. Para burlar la seguridad de la App Store, los estafadores conectaron la aplicación a un sitio web remoto con funciones legitimas para pasar la revisión de Apple. Sin embargo, una vez aprobada la aplicación, los estafadores la redirigen a un dominio registrado en Asia que a su vez envía una solicitud y la responde con contenido de otro host que, en última instancia, conduce al usuario hasta la interfaz de cripto comercio falsa.
BitScan en Google Play y la y App Store
Esta aplicación se describe en la tienda como un rastreador de datos en tiempo real para criptomonedas, pero también tiene una interfaz falsa de criptotrading con la que una de las víctimas llego a perder hasta 4.000 dólares.
Tanto en Android como en Apple, la app se comunica con una infraestructura de comando y control, que a su vez se comunica con un servidor que se parece a una firma japonesa de criptomoneda legitima. La parte maliciosa se maneja en una interfaz web, por lo que es difícil para los supervisores de código de Google Play detectarlo como fraudulento.
Razones por las que las víctimas pican
Es fácil juzgar a las víctimas de estas estafas, pero es un error no comprender las circunstancias que las llevaron a caer en los engaños. Muchas de ellas se dejaron convencer por las técnicas de persuasión que utilizaron los estafadores y estos son algunos de los motivos:
La duración del compromiso
Los estafadores pueden pasar varios meses ganándose la confianza de la víctima, chateando con ella, saludándola y enviándole imágenes de una vida cotidiana típica. Es menos probable que las víctimas investiguen elementos de la estafa debido a la persistencia del contacto con los estafadores.
La posibilidad de una retirada inicial
Las víctimas fueron convencidas por el hecho de que la estafa les permitía retirar dinero de las transacciones iniciales. Esta táctica es un método muy utilizado también por los esquemas Ponzi tradicionales para que la estafa parezca más auténtica.
Ejemplos de las transacciones
Los estafadores utilizan capturas de pantalla de la aplicación falsa para mostrar que están haciendo lo mismo que piden a la víctima que haga, y muestran los beneficios (falsos) que están obteniendo. Piden a la víctima que haga las mismas transacciones, mientras la convencen para que aumente su depósito de dinero en el mercado falso.
Préstamos falsos
Cuando las víctimas tienen que pagar impuestos falsos, como golpe definitivo, lo estafadores fingen pagar la mitad de los impuestos por la víctima y le piden que aporte la otra mitad.
Además, hay otros factores que contribuyen a que las víctimas estén potencialmente más abiertas a la persuasión:
Vulnerabilidad emocional
La mayoría eran vulnerables a la manipulación emocional. En muchos casos, las víctimas eran hombres o mujeres que habían experimentado algún tipo de cambio vital importante. Algunos no habían tenido éxito en las citas, habían enviudado recientemente o habían sufrido una enfermedad grave.
El auge de las finanzas basadas en aplicaciones
La aparición en los últimos años de empresas fintech (tecnología financiera) sin sucursales físicas ha hecho más difícil detectar las falsas, sobre todo cuando las presenta alguien de confianza.
Confianza en la plataforma
Por último, y quizás lo más importante, las víctimas confían en Apple y Google, que afirman verificar y comprobar todas las aplicaciones distribuidas por sus tiendas de aplicaciones.
Como evitar caer en estos fraudes
Lo primero que tenemos que hacer es ser conscientes de que nuestro dispositivo móvil cuenta con los accesos y la información a prácticamente toda nuestra vida. Fotos, cuentas bancarias, ubicaciones … tras esta reflexión deberíamos tener una conciencia mucho mayor del uso que le damos y sobre todo de las aplicaciones que instalamos.
Qué hacer para no caer en estas estafas
Algunos consejos que Sophos recomienda aplicar son:
- Contar con una aplicación antivirus en los dispositivos móviles que nos avisará si una aplicación tiene mala reputación o un comportamiento sospechoso. Además, estas aplicaciones también incluyen una protección al navegar, que nos avisará si accedemos a páginas webs de fraudes.
- Desconfiar de las aplicaciones desconocidas e investigarlas antes de descargarlas
- No invertir en aquellos sectores que no conozcamos sin informarnos antes.
- Desconfiar de los súper chollos en general y en las fórmulas mágicas para hacernos ricos.
- Cuidar nuestra información tanto personal, como financiera. Nunca sabemos al 100% quien está al otro lado ni si es quien dice ser. Las estafas más antiguas siempre buscan su aplicación al mundo de las nuevas tecnologías y no se debe bajar la guardia en ningún momento.
applicantes
Últimas entradas de applicantes (ver todo)
- WhatsApp estrena las listas - 1 noviembre, 2024
- Caza demonios en realidad aumentada con Devil´s Purge, ya disponible para iOS - 1 noviembre, 2024
- Instagram y Facebook son las apps que recopilan más datos de los usuarios, según un estudio - 31 octubre, 2024