Estos días se ha dado a conocer un fraude que los cibercriminales están realizando utilizando, como excusa, un supuesto viaje compartido en diferentes partes de España mediante la aplicación BlaBlaCar.
El modus operandi es el siguiente:
Creación del gancho
Lo primero que hacen, por razones obvias, es crearse cuentas de supuestos usuarios legítimos en la plataforma, y ofrecer viajes a diferentes partes de España, en diferentes días, para cazar víctimas.
Esto mismo le pasó a Maria Teresa, una chica que contaba su experiencia por Twitter:
Hola quiero alertaros sobre una persona en blablacar que está publicando viajes Murcia-Lorca-Málaga, su forma de hacerlo se basa en tu le hablas a través de la app te envía su número cifrado + pic.twitter.com/y1ZW5NiHOP
— MªTeresa♀ (@mariateresach7) February 9, 2022
Como puedes ver, la chica encontró en la aplicación un viaje desde Murcia a Málaga pasando por Lorca a un precio imbatible (mucho mejor que el del resto de viajes legítimos), y por supuesto se puso en contacto con la supuesta anfitriona: una tal Rosa.
El fraude
Al hacerlo, el cibercriminal, como ya hemos visto en múltiples timos de este tipo, busca una excusa para que sigáis la conversación FUERA de la aplicación.
Esto se hace para:
- Por un lado, no dejar huella dentro de la propia aplicación.
- Por otro lado, poder redirigir al usuario a métodos de pago que no están cubiertos por la garantía del servicio.
En este caso, de hecho, pedían que les escribiera por WhatsApp, dándole un supuesto código de seguimiento.
Y una vez por WhatsApp (es decir, fuera de la aplicación original), pedía que para reservar la plaza les pagase apenas un euro.
¿Que cómo tenían que pagarle ese euro? Pues utilizando para ello BlaBlaCar.
O, mejor dicho, una página que se parece a BlaBlaCar, pero que no es de BlaBlaCar. Una página que está bajo el control de los cibercriminales.
Si te fijas en la imagen que acompaña este texto, la URL a la que el cibercriminal redirige no es blablacar.com, es decir, la página oficial de BlaBlaCar, sino otra muy extraña (blablacar-es.online, ya cerrada afortunadamente).
Es decir, una campaña de phishing de toda la vida.
Sobra decir que si María Teresa hubiera pagado desde esa aplicación, ya se podía olvidar de recuperar el dinero (al menos, del robado por el cibercriminal, y no del seguro bancario). Es más, muy probablemente le hubiera pedido más argumentando alguna excusa extra, e intentando aprovecharse lo máximo de la víctima.
Por cierto, que como curiosidad, al poco tiempo la bloquearon del WhatsApp, y al buscar al cibercriminal por BlaBlaCar se dio cuenta de que había cambiado de nombre y ofrecía otros viajes.
Esto es el funcionamiento típico de este tipo de campañas. Lo intentan con varios, esperan unas horas, y si no lo consiguen, bloquean a todos y vuelven a intentarlo con otro nombre y otros ganchos diferentes, para evitar, en la medida de lo posible, que alguno de ellos acabe denunciándoles a la plataforma y esta les cierre el usuario, teniendo que crear otro.
Avisados estáis.
Otros timos que deberías conocer
- 3 elementos que delatan a las campañas de phishing o fraude por email
- ¿Qué hacer en caso de haber sido víctima de un fraude?
- ¿Como recuperar el dinero robado?
- Cómo nos protegemos de los fraudes en Internet
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funcionan los fraudes de descargar libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por un aviso de la DEHÚ
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂
