Sitios falsos de recarga de móviles. Un caso real orientado a clientes Vodafone

Hola,

Os traigo a portada un caso de sitio falso de recargas móviles, actualmente operativo y que está dirigido a usuarios de Vodafone, con la idea de hacer un llamamiento: estas fechas son especialmente proclives a la aparición de estafas en línea, ya que se aprovecha el tirón comercial que siempre acarrean los períodos navideños, con lo que hay que extremar las medidas de protección y cautela que debemos tener con habitualidad.

IMPORTANTE: Sitio Web oficial para recargar móviles Vodafone

Tal y como se describe en la página corporativa, el sitio oficial de recarga es la tienda Vodafone (clientes de España, otros países pueden tener otras tiendas en línea distintas). Existen muchas pasarelas de recarga legales, en los que es igualmente seguro recargar, pero ante la más mínima duda, es prudente no efectuar transacciones en otros sitios que no sean el oficial.

La estafa está bastante bien elaborada, y tiene una presentación clásica. El usuario recibe un mensaje de correo en el que se ofrece un servicio de recargas de móvil, para lo cual debe visitarse un sitio Web dispuesto a tal efecto. Ese sitio de destino es un sitio ilegítimo, operado por los atacantes, que capturarán a través de formularios todos los datos de la tarjeta de crédito que utilicemos en el presunto proceso de recarga.

El mensaje de correo fraudulento tiene este aspecto:

fake email

La estafa nos dirige a una página en la que se presenta un formulario para introducir los datos de la tarjeta de crédito:

fake email

Al rellenar los datos, como es costumbre en este tipo de fraudes, se muestra un mensaje de error en el que se nos invita a seguir introduciendo datos de otras tarjetas. Estos datos jamás provocarán que aumente el saldo de nuestra tarjeta, sino que llegarán directamente a los atacantes.

fake email

¿Cómo reconocer sitios fraudulentos similares al mostrado?

Algunas pistas para identificar sitios falsos pueden ser las siguientes:

  1. Suelen venir publicitados en mensajes de correo no esperados, en los que es frecuente observar faltas de ortografía. Los remitentes suelen ser extraños, no reconocidos.
  2. El volumen de datos solicitados suele ser inusualmente elevado. En condiciones normales, un servicio legítimo no debería pedir más que el número de tarjeta (PAN), el tipo de tarjeta, el código de seguridad (CVV/CVV2) y la fecha de caducidad.
  3. Los sitios Web fraudulentos, además de contener faltas de ortografía, suelen estar disponibles en direcciones URL y dominios sospechosos. Por ejemplo, en nuestro ejemplo, la dirección es un dominio .gd, perteneciente a Granada, una isla-país caribeña. Un sitio extraño para un operador de móviles, ¿no? Otras veces las páginas falsas se alojan en hospedajes gratuitos o emplean redirectores de dominio que inyectan publicidad en las páginas, con lo que la presencia de publicidad no acorde al servicio es siempre síntoma de alerta.
  4. Ausencia de verificaciones. Los sitios legítimos realizan verificaciones básicas con carácter previo a la recarga, por ejemplo, verificar si el número es recargable, si se han introducido todos los datos requeridos, si el DNI es correcto, etc. Algunas veces las páginas fraudulentas carecen de estos medios, con lo que si ante un formulario pulsamos el botón de «enviar» o equivalente sin haber introducido dato alguno y se prosigue el proceso sin informar de errores, debemos recelar de inmediato. No obstante, debe considerarse que los ataques tienden a incluír estas verificaciones, lo que persigue dos objetivos básicos: generar credibilidad y dificultar al máximo la inyección de datos basura en los formularios (práctica habitual de los servicios antiphishing, en la que se introducen datos falsos para hacer indistinguibles los datos basura de los útiles)

Medios seguros para recargar tarjetas móviles de prepago

Algunas vías seguras para recargar nuestros móviles sin sobresaltos son:

  1. Las tiendas en línea oficiales de cada operador. En el caso de Vodafone, es http://tienda.vodafone.es/recargas/.
  2. Cajeros automáticos.
  3. TPVs autorizados para recarga (estancos, gasolineras, etc.)
  4. Recarga a través de banca a distancia.
  5. Recargas solicitadas a través del propio móvil. En el caso de Vodafone, se puede hacer vía SMS o bien llamando al operador.

Un saludo,