El passat 05/07/2019 la UCO (Unitat Central Operativa) de la Guàrdia Civil detenia a J.A.F. en la demonida Operació Lupin. En total han estat més de 2.400 víctimes estafades, provocant al detingut ingressos de més de 300.000€ al mes.
Com ho feia el major ciberestafador?
L’estafador i els seus col·laboradors creaven pàgines web, principalment de venda d’electrònica (telefonia i videoconsoles), oferint productes a un preu molt atractiu per al comprador. Per a donar credibilitat clonaven els estils de les pàgines web d’empreses de prestigi i fins i tot utilitzaven el seu nom en el domini i en el contingut. En total hi ha 26 dominis identificats per la Guàrdia Civil i que van ser utilitzats per a cometre el frau. La Guàrdia Civil ha habilitat una pàgina web on es poden veure aquests 26 dominis i conviden a reportar als estafats la seva denúncia: https://www.gdt.guardiacivil.es/webgdt/afectadoslupin.php
Quan l’usuari feia la transferència, l’estafa no havia fet més que començar. A més de no rebre mai els productes que havia comprat, la xarxa d’estafadors es posava en contacte amb el comprador convidant-li al fet que es descarregués una aplicació en el seu mòbil per a realitzar el seguiment de la comanda.
Òbviament l’aplicació no tenia com a finalitat fer el seguiment del supòsit demanat, sinó reexpedir el contingut de tots els SMS que l’estafat rebia. Per a què? Per a continuar robant. La majoria de bancs davant una compra en línia mitjançant targeta de crèdit, sol·licita al seu client un codi de seguretat que envia a aquest per SMS amb la finalitat d’autoritzar la transacció. Ara l’estafador podia realitzar compres a través d’Internet utilitzant la targeta de crèdit de l’estafat. Quan el banc enviés el SMS al client, l’estafador també el rebria gràcies a la seva app. Mentre l’estafat no bloquegés la seva targeta de crèdit, l’estafador tenia barra lliure per a comprar per Internet.
Aquest són els nostres 5 consells per a evitar ser víctima de ciberestafadors
Quan el nombre de víctimes supera les 2.400 és evident que l’estafador el va fer molt bé. Però es podria haver evitat? Sí, i aquí tens uns consells per a evitar-ho:
1. No compris en pàgines web que no siguin de la teva confiança. Els estafadors utilitzaran dominis, logotips, eslògans, colors,… que provoquin confusió per a fer-te creure que tenen relació amb empreses legítimes de prestigi. Fixa’t bé en el domini, assegura’t que es carrega amb https (apareixerà un cadenat al costat de la URL) i sigues desconfiat per defecte. Si no ho veus clar, cerca en Internet referencies sobre aquesta pàgina, posa’t en contacte amb ells per a recaptar més informació o verifica que tinguin una secció de «Avís legal» i «Condicions d’ús» en la seva pàgina web. Si així i tot et genera dubtes, no t’arrisquis. El barat surt car.
2. La majoria de llocs web deleguen el procés de pagament en una passarel·la de pagament (per exemple: redsys, paypal, stripe,…). Si la web sol·licita directament les dades de la teva targeta o la passarel·la de pagament no és de confiança, cancel·la inmeditament l’operació.
3. Activa el control d’ús de la teva targeta. La majoria de bancs permeten als seus clients activar i desactivar la possibilitat de realitzar compres a través d’Internet utilitzant l’app del banc o la web. És recomanable activar exclusivament la possibilitat de compres en línia en el moment de realitzar un pagament i desactivar-la immediatament després de l’operació.
4. Revisa les permisos de les teves apps en el mòbil. Quan et descarregues una aplicació en el mòbil, li estàs atorgant permisos per a accedir per exemple a la teva agenda, càmera, fotos,… o com en el cas de l’estafador Lupin, als teus SMS. Si consideres que una aplicació està sol·licitant accés a funcionalitats que no requereix, desinstal·la-la. El més probable és que vulgui utilitzar els accessos de manera fraudulenta. Pots revisar els permisos de les teves aplicacions per a Android així https://support.google.com/googleplay/answer/6270602?hl=es
5. Utilitza contrasenyes fortes i diferents per a cada lloc web i mai les facilitis A NINGÚ. Igual que no uses la mateixa clau per a la teva casa, el portal i el cotxe, no utilitzis la mateixa contrasenya per a diferents llocs web. Pensa que si algú l’aconsegueix tindrà accés a tots els comptes que hagis configurat amb la mateixa contrasenya. És veritat que pot ser difícil recordar-se de la contrasenya utilitzada per a cada lloc, però existeixen gestors de contrasenyes com 1Password o LastPass que harán esta tarea más fácil.
T’han estafat o has trobat una web fraudulenta?
Denúncia. Gràcies a que moltes persones havien denunciat a l’estafador Lupin, la Guàrdia Civil ha pogut desmantellar aquesta xarxa. Si creus que has estat víctima d’una estafa en Internet o penses que hi ha una web que podria estar cometent un delicte, no el dubtis, presenta una denúncia a través d’algun dels canals que la Guàrdia Civil posa a la teva disposició: http://www.guardiacivil.es/es/servicios/denuncias/index.html
El problema que moltes vegades es troben les Forces i Cossos de Seguretat de l’Estat en la lluita contra el ciberdelicte és que les pàgines web, anuncis, missatges en Internet,… són eliminats per l’estafador amb la mateixa facilitat amb la qual es van publicar. En el cas de Lupin, hi havia pàgines web que només van estar publicades 48 hores per a evitar ser rastrejats i així deixar proves.
Com guardar les proves per a denunciar amb garanties?
Com comentàvem, els estafadors eliminen ràpidament les proves per a evitar ser caçats. Per a facilitar la recerca, a l’hora de denunciar, és recomanable que certifiquis les proves.
A Savetheproof.com certifiquem el contingut de qualsevol pàgina web en Internet. Tan sols has d’indicar la URL (direcció del lloc web) el contingut del qual vols certificar o navegar fins ella a través de la nostra plataforma.
En pocs minuts tindràs un certificat en format PDF signat electrònicament que podràs adjuntar a la teva denúncia. D’aquesta manera, encara que l’estafador elimini la pàgina, tindràs la prova que el lloc existia i faràs molt més fàcil la recerca a les Forces i Cossos de Seguretat de l’Estat.
Si tens qualsevol dubte sobre com certificar una pàgina web amb Savetheproof.com escriu-nos a: [email protected]