Déjame contarte una historia rápida. Me gustan los zapatos Johnston & Murphy. He estado tratando de conseguir este par durante semanas, pero como parece que a mucha gente también le gusta, se ha agotado en mi talla de calzado más habitual. Entonces hice una búsqueda en Google para ver si podía encontrar otras tiendas que lo tuvieran en stock.
Y aunque no lo supieras, había otro sitio de Johnston & Murphy, casi el mismo con “EE.UU.” añadido a la URL. Se parece al otro sitio, pero tenía todos los tamaños de ese zapato en stock, listos para comprar. Y estaba a mitad de precio del precio original, ¡menuda oferta! Debe ser una salida de exceso de existencias para la marca. Así que puse el zapato en mi carrito y me preparé para pagar.
Pero por alguna razón, PayPal era la única opción de pago. No es gran cosa, uso PayPal a menudo y tiene un programa de seguridad de compra. Entonces pasé por la interfaz de PayPal… y el último paso del proceso, el que confirmaría el pedido, decía “Aceptar y suscribirse” en lugar de “Comprar”. También me pidió que le pagara a alguien que no es Johnston & Murphy, sino “Association Islamique Fulado”. Ese nombre no arrojó ningún resultado útil en Google: su dirección está en algún lugar de Luxemburgo, suponiendo que sea la misma persona u organización.
Sin foto: venta de zapatos.
Sin foto: venta de zapatos.
Michael Crider/Fundición
Sin foto: venta de zapatos.
Michael Crider/Fundición
Michael Crider/Fundición
He visto ese botón antes. Se utiliza cuando desea realizar un pago recurrente a una organización benéfica o a un creador, al estilo Patreon. ¿Por qué necesitaría “suscribirme” a una opción de pago único?
Para ser honesto, mis señales de alerta surgieron desde el principio cuando vi la URL, pero en ese momento entré en Asilo Arkham Modo detective. El primer paso fue comprobar esa URL sospechosa con una búsqueda en Whois. El dominio principal de Johnston & Murphy ha estado registrado durante casi treinta años, y aunque pasó por un registrador privado, ese registrador tiene su sede en Florida, EE. UU. Si un juez de Estados Unidos emitiera una citación a Johnston & Murphy, tendría a alguien a quien localizar.
Intenté la misma búsqueda con el sitio alternativo “EE. UU.”, el que tenía el zapato en stock y estaba listo para vendérmelo mediante una suscripción de PayPal. Éste fue registrado en enero de este año, a nombre de una empresa china, con una dirección de Gmail para el registrador privado.
Ahora, dado que estoy publicando esta historia públicamente, no voy a acusar rotundamente a este sitio de ser una estafa. Pero no se me ocurre ninguna razón legítima por la que un dominio Johnston & Murphy para una empresa estadounidense utilice un registrador en China. Y no puedo imaginar por qué el sistema PayPal solo me permite “suscribirme” para pagar, especialmente cuando el sitio verificado solo te permite pagar con tarjeta de crédito. Decidí esperar por esos zapatos.
Diré que las tiendas minoristas falsas son increíblemente comunes e incluso aparecen en lugares destacados en las búsquedas de Google como la que hice yo. He visto muchos sitios similares, e igualmente sospechosos, que venden kayaks con grandes descuentos en los resultados de compras de Google. También eran tiendas nuevas, con diseños que imitaban o simplemente robaban el diseño de otras tiendas, y con precios y disponibilidad que parecían demasiado buenos para ser verdad.
A Informe reciente de la empresa alemana Security Research Labs (descubierto por pitidocomputadora) encontró una red de sitios minoristas falsos que operaban con decenas de miles de dominios. La red “BogusBazaar” recibió 850.000 pedidos, en su mayoría de Estados Unidos y Alemania, y el resto de las “ventas” se destinó a Canadá y Europa Occidental. Las tiendas se configuran y copian rápidamente con herramientas automatizadas de WordPress, incluidos complementos de comercio electrónico para aceptar información de PayPal, Stripe y otros métodos.
¿Cuál es el punto de? No se limitan a cobrar el dinero y tratar de salirse con la suya, lo que suele ser más difícil de lo que parece ahora que los bancos, las compañías de tarjetas de crédito y otros procesadores de pagos están en alerta máxima ante el fraude. En lugar de eso, recopilan información personal, especialmente direcciones y números de tarjetas de crédito. Reúna toda esa información y será un comienzo valioso para un intento de robo de identidad.
SRLabs dice que el sistema BogusBazaar opera con un pequeño equipo de desarrolladores, que luego venden sus servicios a otros estafadores en un sistema de “franquicia”, principalmente fuera de China. Buscan nombres de dominio abandonados recientemente que tengan resultados de búsqueda decentes para atraer tráfico. Es un método “discreto” y “altamente escalable”, que genera ingresos estables a través del robo de información. Cuando un grupo de tiendas es descubierto y eliminado de los motores de búsqueda, simplemente copiarán y pegarán con un nuevo conjunto, enjuagando y repitiendo sus técnicas para recopilar más datos.
Recuerde, tanto en las compras online como en la vida: si algo parece demasiado bueno para ser verdad, probablemente lo sea.
2024-05-08 18:03:35
#Una #red #tienda #web #falsa #roba #números #tarjetas #crédito,