Últimamente muchas personas hemos recibido mensajes vía WhatsApp de números desconocidos, los cuales ofrecen trabajo en una plataforma en línea con proyectos para grandes empresas como Amazon, AliExpress, Mercado Libre, entre otros, ofreciendo un sueldo entre $500 y $2,000 pesos mexicanos diarios.
Para iniciar con el proceso es necesario dar clic al enlace que viene dentro del mensaje, el cual te redirecciona a iniciar un chat vía WhatsApp con otro número distinto al emisor del primer mensaje.
Al solicitar información en el segundo chat, te solicitan tu edad y ocupación para comprobar si cumples con los requisitos. Una vez que eres el “indicado” para el puesto, recibes un segundo mensaje donde el sueldo aumenta a $800 – $5,000 pesos mexicanos diarios. Al responder OK, recibes un nuevo mensaje con la liga de acceso a la plataforma:
Hasta este punto los supuestos reclutadores han obtenido los datos personales como número de teléfono (al responder al mensaje saben que el número está activo), ocupación y edad de la víctima. Al analizar y dar clic en los enlaces que nos fueron proporcionados, hasta este punto no identificamos algo que pudiera poner en riesgo el equipo del usuario.
Al dar clic en el segundo enlace, te solicita registrarte con tu número de teléfono, una contraseña y el código de invitación que viene al final del enlace, en este punto solo el ID de referencia es validado por lo que se puede introducir cualquier número telefónico de 10 dígitos y cualquier contraseña. Es importante indicar que una vez que el usuario ingresa al sitio web, el dueño del sitio puede recolectar información como la dirección IP de donde se está conectado, el tipo de dispositivo, la versión del sistema operativo del dispositivo, tipo y versión del navegador, entre otros datos.
Al registrarte, ingresas al portal como se muestra en la siguiente imagen.
En el portal se muestra información como el balance en tu cuenta, 4 links: Aplicaciones, recargar, sacar dinero e invitar amigos; dos secciones “Opciones de misión VIP” y “Conocernos”.
Cómo se puede observar en la imagen anterior, es una plataforma que desde primera vista se nota fraudulenta, malos diseños, palabras mal traducidas al español, iconos genéricos, funcionalidades deficientes, etc.
Ya dentro de la página revisamos su código fuente, en el cual identificamos comentarios con palabras en chino que indican las funcionalidades de algunas partes del código, otros comentarios se encuentran en inglés pero los comentarios en chino explican las funcionalidades de la página de manera general.
Durante nuestra investigación la página estuvo alojada en 2 direcciones IPs, una de ellas estaba en un proveedor de Beijing, China: CHINANET FUJIAN PROVINCE NETWORK y la otra IP en un servidor de Estados Unidos. Estas son características similares a las aplicaciones de préstamos llamadas “Monta deudas”, de las cuales también nos encontramos haciendo una investigación pero por el momento públicamente sabemos que algunas fueron desmanteladas por el Gob. de la CDMX y eran administradas desde China.
Regresando a la página principal, al dar clic en el link “Aplicaciones”, te indica que puedes descargar una aplicación para Android llamada DigitalMarket y que al instalarla muestra el nombre “ccmall”. Con una búsqueda rápida en Google, encontramos que la empresa “ccmall” se encuentra ubicada en Henan, China. La aplicación cuenta con comentarios y calificaciones positivas las que le dan un raiting de 5 estrellas para que los usuarios que la descarguen no tengan desconfianza. Obviamente todo el contenido de esta sección es falso y se encuentra incrustado en la página, no existe ninguna conexión con Play Store de Google.
Los datos de la app descargada son los siguientes:
- SHA256: 1c9f5381256e1b54ed0efaf85499848d2b3669a6d2c8cea05da82709b368bfdf
- Tamaño: 3.88 MB
La app cuenta con funcionalidades que pueden poner en riesgo a los usuarios, según su código fuente son similares a las aplicaciones llamadas “monta deudas”:
- Solicita permisos de uso de conexión a internet
- Envía los datos a internet sin cifrar
- Permite descargar los datos almacenados en el dispositivo por la app sin restricción
- Leer y escribir información en memoria de almacenamiento externo
- Obtener la última ubicación geográfica del dispositivo
- Obtener la ubicación exacta del dispositivo
- Obtener los mensajes SMS
- Leer el registro de llamadas realizadas
Una vez que se le notifica al personal de “Servicio al Cliente” que se ha completado el registro exitosamente, el asesor valida que el teléfono exista en su base de datos, si no existe, el asesor te indica que no te has registrado y que procedas con el registro. Posteriormente el asesor procede a solicitar internamente la cuota de experiencia que es de $40 pesos mexicanos, hasta este punto el usuario no tiene que realizar ningún pago, ya que el dinero es depositado por el asesor y aparece unos minutos después en la sesión del usuario.
Con nuestros grandiosos $40 pesos podemos iniciar a “trabajar”. Ingresamos a la sección “Inicie” y entraremos a una sección donde nos muestra una máquina de azar la cual nos asignará el producto que debemos de “enviar”. El asesor te envía una imagen donde se muestra como es el funcionamiento de la plataforma para que el usuario aprenda a enviar pedidos.
Una vez que el sistema nos asigna el producto que tenemos que enviar, damos clic en “Enviar orden” y terminamos nuestro primer pedido. Al finalizar los 3 pedidos, nuestro saldo con ganancias es de 47.92 pesos.
El asesor te indica que puedes retirar tus ganancias a través de la sección “retirar dinero”, donde te solicitan los datos de la tarjeta bancaria para realizarte el pago de tus ganancias, el nombre asociado a la tarjeta y la entidad bancaria de la tarjeta. En este paso el número de la tarjeta bancaria no se verifica si existe o no, como en algunos sitios de phishing bancarios. La plataforma no permite que el usuario realice el cambio de sus datos bancarios, pero debido a un error en el sistema, es posible cambiar los datos bancarios de cualquier usuario. Al intentar realizar el retiro de tus ganancias la plataforma nos muestra un error: Revisión fallida.
Para continuar con el proceso y subir de nivel para “ganar más dinero”, necesitamos realizar un depósito de mínimo $100 pesos. Aunque la plataforma te dice que puedes realizar 3 pedidos diarios con el nivel que te otorgan inicialmente, no es posible “enviar” nuevos pedidos hasta que se realice el depósito.
En la sección “recargar”, te pide indicar el monto de la recarga que va desde los $100 a $100,000 pesos, el método de depósito indicado es a una tarjeta bancaria a nombre de Claudia N Rosas H de la entidad bancaria ALBO. Para que el depósito sea validado, es necesario subir el comprobante de depósito, si no es un comprobante válido, no se refleja el nuevo saldo.
Al rastrear a la persona dueña de la cuenta bancaria, identificamos que se encuentra en Guadalajara, Jalisco, que es una persona de escasos recursos y gracias a una publicación en sus redes sociales obtuvimos su número de celular el cual se encuentra registrado en Telcel y que al parecer lo utiliza para fines personales, ya que no identificamos registros fraudulentos en internet de dicho número. Las personas de escasos recursos están expuestas a ser parte de este tipo de fraudes, incluso al robo de identidad ya que son quienes por cierta cantidad de dinero aceptan entregar sus identificaciones para que criminales puedan abrir cuentas y puedan extraer el dinero robado; así como también su información pueda ser utilizada para solicitar prestamos que pueden causarles deudas y problemas legales. Un claro ejemplo de estas personas mal llamadas “mulas”, fue su participación en el hackeo a Banxico en el 2018, las cuales fueron utilizadas para abrir cuentas bancarias y distribuir el dinero depositado a otras cuentas bancarias y extraer el dinero, las cuales según el gobernador de Banxico, realizaron 900 retiros en efectivo.
Al momento de realizar esta investigación existían aproximadamente 250 usuarios registrados con códigos de invitación distintos; y de acuerdo a la Lada de los número de teléfono registrados en la plataforma, corresponden a varios estados de México: Pachuca, CDMX, Veracruz, Puebla, Guadalajara, Puebla, Sonora, Guerrero, Quintana Roo, Edo. Mex, Zacatecas, Nayarit, Chiapas, Chihuahua.
Un error (no una vulnerabilidad) en la página permite ver algunas cuentas de los usuarios registrados que muestran datos como:
- Saldos entre $0,74 y $100 pesos
- Nombres completos
- Números de tarjetas bancarias
- Monto de recargas realizadas
- Monto de retiros realizados
Durante nuestra investigación identificamos 7 dominios relacionados con el mismo sistema, los cuales tienen bases de datos independientes, es decir, si te registras en un sitio no puedes iniciar sesión en otros sitios similares. A continuación se muestra un diagrama de las personas, números de teléfono, cuentas bancarias, correos electrónico identificados y su relación.
El sistema tiene otras características internas, por ejemplo, cuando el usuario realiza el “envío” del producto, la plataforma realiza conexiones a Amazon (en nuestro caso) donde la URL incluye IDs que indican que se está realizando un tipo de fraude de “afiliados”, es decir, cuando una empresa que se encuentra registrada como afiliado en sitios de venta en linea, la empresa recibe un porcentaje de dinero al enviar a un cliente potencial a la plataforma de venta en linea si realiza una compra posteriormente. Tenemos una investigación que habla de un tema similar de título “Cookie stuffing” el cual pueden leer aquí: https://skty.cc/v8
Conclusión
Estas estafas se llevan a cabo convenciendo al usuario de que entreguen sus datos los cuales pueden ser usados para cometer fraudes o realizar ataques de phishing. Probablemente algunos usuarios reciban una cantidad de dinero de regreso en sus cuentas, pero no podrán obtener el total del dinero invertido. Este tipo de fraudes utilizan mulas para lavar o robar dinero y que los líderes de estas organizaciones puedan obtener el dinero sin ser identificables fácilmente y quienes terminan pagando las consecuencias son las “mulas”.
Previous Next