Il team anti-frode D3Lab ha identificato il primo phishing dell’anno a danno degli utenti della piattaforma di vendita online Wallapop. Questa volta, i bersagli sono i venditori stessi.
Wallapop, in modo simile a Subito.it, è una piattaforma di annunci online dedicata principalmente a venditori e acquirenti privati.
In questa campagna di phishing, i truffatori non cercano di acquisire le credenziali di accesso degli utenti, ma mirano ai dati sensibili delle loro carte di credito. Il modus operandi di questa frode è stato precedentemente osservato su altre piattaforme simili, come Subito.it, dove il target non è l’acquirente ma il venditore.
La tattica è sorprendentemente semplice ma efficace: l’attaccante individua annunci di vendita su Wallapop e contatta i venditori attraverso la messaggistica interna della piattaforma. Una volta instaurato il contatto, cercano abilmente di spostare la comunicazione su WhatsApp, fornendo pretesti vari. Successivamente, inviano un link attraverso WhatsApp, apparentemente per facilitare il pagamento o completare la transazione.
Il link non ha ovviamente nulla a che vedere con la piattaforma Wallapop ed è esclusivamente finalizzato a carpire i dati del venditore per poi abusare della sua carta di credito.
Tuttavia, il link, non relativo in alcun modo alla legittima piattaforma Wallapop, è esclusivamente finalizzato a rubare i dati del venditore per poi abusare della sua carta di credito.
D3Lab raccomanda agli utenti di Wallapop di di prestare la massima attenzione a questa tipologia di truffe e di non dare mai seguito a contatti che cercano di spostare le comunicazioni al di fuori dei canali di messaggistica ufficiali forniti dalla piattaforma, che includono anche Vinted, e altre piattaforme simili.
https://www.d3lab.net/phishing-ai-danni-di-wallapop/
