Entre las muchas redes sociales, Instagram y WhatsApp se han convertido en herramientas muy útiles para el comercio electrónico. Sin embargo, entre la multitud de tiendas legítimas, acechan estafadores (cibercriminales) expertos en engaño y técnicas de ingeniería social que se aprovechan de usuarios inocentes o despistados para obtener datos personales o dinero.
En esta ocasión, alertamos sobre una estafa que se disfraza de oportunidad de ganar “dinero extra”, y es llevada adelante mediante Instagram y WhatsApp. Los cibercriminales imitan rasgos de una tienda legítima de e-shop llamada “Shopee”, atrayendo a usuarios desprevenidos con promesas tentadoras como ganar grandes sumas de dinero en un día, vendiendo productos aparentemente genuinos.
-----
¿Cómo funciona el engaño?
Los estafadores comienzan la estafa incluyendo a la víctima en una especie de grupo de difusión de Instagram donde alguien se presenta como “Director de Contratación de Shopee” y ofrece un trabajo por sumas de entre 50.000 y 200.000 pesos argentinos por día.
Una vez que logra captar la atención, invita a los interesados a comunicarse con un número de WhatsApp (según su código telefónico está radicado en Buenos Aires, Argentina)
Una vez que la víctima se contacta al número de WhatsApp que el supuesto director le indicó y pide más información, le refieren lo mismo que en el contacto previo en Instagram, pero esta vez en lugar de mencionar Shopee, dicen ser parte de una empresa distinta, pero similar: InShopee
Cuando la persona víctima pide aún más información, son los estafadores los que piden datos personales de la víctima, como nombre y apellido, aduciendo que la información personal está resguardada e intenta simular cumplimiento de leyes y formalidade).
Una vez proporcionada esta información personal, los estafadores proporcionan un enlace de inshopee.vip (como vemos no es Shopee) y una captura de pantalla de como se vería el sitio para completar el registro. Prometen una suma de 1.200 pesos argentinos por el solo registro, que por supuesto nunca sucederá.
Al ingresar al link que les proveen los atacantes, se puede observar que el navegador lo detecta como inseguro, en tanto usa http y no https. Se puede observar en la página de registro que las imágenes del sitio son poco serias porque se ven pixeladas tanto en escritorio como en el móvil.
Una vez registrado, aparece una página cuyos botones en general no funcionan y solo funciona el de recarga de saldo. Dentro de la página aparecen imágenes de logos de Mercadolibre, Amazon, etc (imágenes pixeladas y de mal aspecto). También se observan errores ortográficos y de tipeo, como en el banner principal y el botón para ver los empleos que se lee “see iobs” en lugar de "see jobs"
En esta imagen de arriba, podemos ver que en perfil de empresa se ve el logo de la empresa Shopee (empresa que evidentemente se pretende imitar), siendo que la URL de esta página dice "inshopee".
Revisando los botones de perfil de empresa podemos ver texto simple en HTML sin ningún diseño como lo tiene la página oficial de Shopee o como tendría cualquier compañía real a estas alturas.
De hecho, contiene textos con errores gramaticales y ortográficos, claro indicio de web apócrifa. También el contenido del texto no indica origen de la compañía, no hace alusión a normativa explícita y resulta poco coherente.
Minutos después del registro recibimos una llamada telefónica proveniente del mismo número con el que nos comunicamos por whatsapp donde una voz aparentemente de mujer nos indicaba que debíamos hacer una transferencia de 10.000 pesos a la cuenta que aparece luego del botón recargas o en su lugar hacer una orden de retiro de dinero para lo cual nos dan el DNI de una persona HUMANA. Esto es otro indicio de la falsedad dado que una compañía tendría una cuenta de empresa cuyo titular sería una sociedad jurídica y no un particular.
Finalmente, si bien no hicimos las transferencias, buscamos información de inshopee y no existe ninguna información al respecto, ni de su origen y tampoco pudimos rastrear el IP de la página con herramientas simples.
Haciendo un examen de la URL en virus total, indica que es potencialmente malicioso
A continuación, datos de Shoppe (compañía imitada): Shopee (shopee.com.ar) es una empresa de comercio electrónico que se fundó en Singapur y se expandió a varios lugares del mundo y América Latina está presente en Argentina desde enero de 2022.
Consejos de seguridad ante ofertas de empleo
Este tipo de estafa es bastante común hoy en día y algunos consejos para evitar caer en estafas de páginas apócrifas son:
- Investigar la reputación de la tienda: Antes de realizar una compra o transferencia, investiga la reputación de la tienda en línea buscando reseñas y comentarios de otros usuarios para verificar su autenticidad y calidad de servicio.
- Verificar la autenticidad del sitio web: Asegúrate de que la página web tenga una dirección URL segura (https://) y revisa la legitimidad del dominio. Evita sitios con nombres extraños o mal escritos, ya que podrían ser indicativos de estafas.
- Analizar las políticas de la tienda: Revisa cuidadosamente las políticas de privacidad, Las tiendas legítimas suelen tener políticas claras y detalladas, mientras que las estafas pueden carecer de esta información o presentar políticas poco realistas.
- Desconfiar de las ofertas demasiado buenas para ser verdad: Si una oferta parece demasiado buena para ser verdad, es muy probable que sea falsa. Las estafas suelen ofrecer productos a precios muy bajos o promesas de ganar mucho dinero fácil.
- Comprueba la autenticidad de las redes sociales: Si la tienda tiene perfiles en redes sociales, verifica su autenticidad. Busca señales de actividad genuina, como interacciones con usuarios y publicaciones regulares. Las estafas suelen tener perfiles recién creados o con poca o ninguna actividad.
- Utiliza soluciones de seguridad en tus dispositivos: utilizar soluciones anti phishing, antimalware en tus dispositivos ayudara aprevenir riesgos de este tipo.
