La Guardia Civil y la Oficina de Seguridad del Internauta (OSI) han alertado sobre una nueva estrategia de estafa a través de la aplicación Bizum y que afecta a los usuarios de portales de compraventa online que requieren el pago por este medio.
En este caso, explican desde el OSI, «los ciberdelincuentes, esta vez encubiertos como supuestos compradores, intentan engañar a la víctima, el vendedor, mostrándose interesados en comprar el producto que tiene en venta, realizando la transacción a través de Bizum. En realidad, en vez de realizar el pago enviará una solicitud de dinero al vendedor, el cual en caso de aceptar estará pagando la cuantía a su supuesto comprador.
Así, «este nuevo intento de estafa se estaría llevando a cabo principalmente a través de plataformas de compraventa, como Milanuncios, Vinted o Wallapop, donde cualquier usuario puede poner a la venta un artículo. Es en ese momento, cuando los ciberdelincuentes aprovechan para contactar con sus víctimas, los vendedores, disfrazándose de supuestos compradores.
Los ciberdelincuentes se muestran interesados en la compra del artículo y, una vez se han ganado la confianza del vendedor, le indican que quieren realizar el pago a través de Bizum.
Aprovechándose del desconocimiento del vendedor sobre el funcionamiento de la aplicación Bizum, envían una solicitud de pago en vez de enviarle el dinero por el producto. La víctima recibirá un mensaje de texto en el que, si se lee con detenimiento, se puede comprobar que realmente es un pago.
Los pasos descritos a continuación pueden variar ligeramente, dependiendo de la entidad bancaria a través de la que se utiliza Bizum, aunque siempre será muy similar.
Si el vendedor no presta atención al mensaje y accede a su cuenta bancaria, encontrará un mensaje donde se muestra el dinero que se solicita con dos opciones: “Confirmar” para confirmar el envío de dinero y “Rechazar” para rechazar el pago.
En el caso de aceptar el pago, la aplicación mostrará una nueva pantalla con la cantidad a pagar, el concepto y la identidad del solicitante, donde debe confirmar que todos los datos son correctos. De nuevo, se muestra un mensaje indicando que al confirmar se pagará el dinero que le han solicitado.
Si el usuario no se da cuenta y acepta la transacción, estará autorizando el pago en vez de recibirlo. Una vez producida la transacción, el ciberdelincuente desaparecerá sin dejar rastro».
