Wallapop: cuidado com este novo esquema para vendedores novatos!

Publicado em por

Wallapop: cuidado com este novo esquema para vendedores novatos!

A internet veio trazer várias oportunidades para utilizadores comuns terem a capacidade de atingir um público mais vasto. Isto pode verificar-se, por exemplo, em plataformas de vendas em segunda mão – que rapidamente podem chegar a milhares de utilizadores interessados em adquirir produtos a preços mais acessíveis.

Mas, ao mesmo tempo, também existe uma crescente onda de esquemas, que tentam tirar proveito de quem usa estas plataformas para os mais variados fins “ilícitos”.

A Wallapop é uma plataforma que tem vindo a ganhar alguma popularidade por entre os interessados em compra e venda de produtos em segunda mão. No entanto, de acordo com os investigadores da empresa de segurança Panda Security, é necessário ter em atenção também alguns esquemas que se encontram na plataforma.

Existe um novo esquema que se encontra a tentar tirar proveito de novos utilizadores da Wallapop, levando os mesmos ao engano na hora do pagamento – sobretudo para novos vendedores.

Quem nunca usou a Wallapop, possivelmente não conhece o funcionamento da plataforma. No entanto, ao contrário do que acontece em algumas rivais, a Wallapop não envia diretamente os fundos dos interessados numa compra para os vendedores. Invés disso, os fundos são mantidos na conta dos utilizadores, em formato virtual, até que o vendedor envie o produto e o destinatário confirme a receção correta.

No entanto, um novo esquema encontra-se a tentar tirar proveito do desconhecimento de novatos nas vendas da plataforma, contornando esta proteção.

O esquema começa pelo atacante a identificar os utilizadores como sendo novatos nas vendas da plataforma ou não. Caso o mesmo verifique que o utilizador é novo nas vendas, procede com a tentativa do esquema.

Este começa por informar o vendedor que está interessado na compra, mas que devido a um erro de configuração na conta do vendedor, este não consegue realizar o pagamento. O atacante tenta então recolher o email da vítima. Caso consiga, este começa a fingir ser a própria Wallapop, e envia uma mensagem em nome da plataforma para a caixa de entrada do vendedor.

exemplo de mensagem maliciosa de phishing da wallapop

Nesta mensagem, as vítimas são redirecionadas para um site de aparência similar ao Wallapop, mas que não se encontra relacionado com o mesmo. Neste site, as vítimas são questionadas para introduzirem vários dados de identificação e das suas contas, e até mesmo dados de cartão de crédito para supostas “verificações”.

Obviamente, caso isso seja realizado, o atacante passa a ter controlo não apenas da conta do vendedor, de onde pode recolher os eventuais fundos que este contenha, mas também dos dados do seu cartão de crédito, que podem ser depois usados para esquemas diversos.

Este esquema tenta usar o desconhecimento da plataforma por parte de novos vendedores, e reforça ainda mais a importância de se ter atenção aos links que se acedem em mensagens de email suspeitas.