Desvelan una trama que aprovechaba la opción de recogida por otra persona en la Tienda de Apple para estafar y lucrarse

Archivo - Logotipo de Apple en su tienda de Hamburgo | Christian Charisius/dpa - Archivo

Europa PressMadrid22/04/24 11:07

Dos investigadores de ciberseguridad han desvelado una trama que aprovechaba la recogida en tienda por otra persona que ofrece Apple para obtener una ganancia económica a través de tiendas de segunda mano y tras el robo de datos bancarios de otras víctimas en páginas suplantadas.

La estafa ha utilizado, por un lado, páginas fraudulentas que suplantan a otras legítimas ('phishing') para robar datos personales y bancarios; y, por otro, páginas de segunda mano y la Apple Store 'online' para realizar compras con la opción 'Otra persona' para la recogida en tienda.

La primera parte de esta campaña fraudulenta implicaba la implementación de páginas de 'phishing' que suplantaban las originales de más de 50 tiendas digitales, y obtener a través de ellas los datos de sus víctimas.

Para ocultar su actividad, los cibercriminales emplearon estrategias de evasión en las aprovecharon varias vulnerabilidades. Finalmente, fue detectada en otoño de 2022, como han expuesto dos investigadores del Instituto de Seguridad Financiera de Corea del Sur en Black Hat Asia.

Posteriormente, en lugar de vender estos datos en la Internet oscura, se embarcaron en una actividad más innovadora, ?utilizando el método de 'recogida por otra persona' de las Aple Store online para engañar a los consumidores y facilitar pagos fraudulentos de una manera notablemente inventiva?.

En concreto, lo que hacían era publicar un anuncio en la página de segunda mano con la oferta de un producto nuevo a un precio rebajado, pero no excesivamente bajo para no levantar sospechas. Cuando un comprador se interesaba por él, iniciaban una conversación por chat para preguntarle si podía ir en persona a recogerlo.

Posteriormente, estos actores maliciosos utilizaban los datos de las tarjetas robadas para hacer compras en las tiendas oficiales de la Apple, con el precio real, eligiendo la recogida por otra persona, para fuese el comprado de la tienda de segunda mano quien acudiera a la tienda física a recoger el producto nuevo.

El comprador les enviaba la suma acordada tras la recogida, un dinero que iba directo a la cuenta que controlaban los cibercriminales. Es decir, el lucro estaba en esta cantidad, ya que la compra en la tienda de Apple se hacía con los datos de las tarjetas robadas.