Análisis de amenazas

La función "solicitar dinero" de PayPal puede ser contraproducente

Michal Salát, 20 octubre 2020

Los servicios bancarios populares simplifican las solicitudes de dinero para usuarios y estafadores por igual

Nuestro equipo encontró recientemente un correo electrónico que informó a uno de los miembros de nuestra junta como un posible intento de phishing . El correo electrónico supuestamente se envió desde PayPal, y el propósito del correo electrónico era una solicitud para que el destinatario enviara dinero.

El correo electrónico ciertamente parecía sospechoso, ya que en este caso fue totalmente inesperado. Sin embargo, tras una inspección más cercana, resultó ser un correo electrónico legítimo de PayPal. Esto captó mi interés, así que resucité mi relato arcaico para ver de dónde podría venir.

Después de recordar minuciosamente mi contraseña anterior, fui recibido por la página de inicio de mi cuenta.

Cerca de la parte superior de la página, algo me llamó la atención de inmediato: el simple botón "Solicitar". Al hacer clic en él, me llevó a una guía que me informa que puedo enviar una solicitud de pago a hasta 20 personas a la vez. Entonces, le di una oportunidad. Le pedí a mi colega que me enviara $ 500, pero para asegurarme de que no lo haría, incluí a propósito un mensaje extraño y sospechoso.

Una vez que había elaborado mi solicitud, era tan simple como hacer clic en el botón "Solicitar un pago". Luego, mi colega recibiría mi solicitud en una notificación por correo electrónico. 

Además de ser una función fácil de usar, lo que hace que esta funcionalidad sea aún más conveniente (para bien o para mal) es el hecho de que los destinatarios de las solicitudes no necesitan ser usuarios de PayPal para pagar las solicitudes que reciben. Todo lo que se requiere de ellos es que tengan una tarjeta de crédito válida y fondos suficientes. En caso de que un destinatario sea lento con el pago, puedo enviar un recordatorio amistoso con un solo clic de un botón en la descripción general de la solicitud. Esto resultará en el envío de otro recordatorio generado automáticamente.


Es importante destacar que PayPal no es el único en este juego. Recordé que en el pasado encontré una característica similar en mi aplicación Revolut. Así que fui a comprobarlo, y bingo: también puedes pedir dinero a otros (sitio en inglés) allí. Esta vez, las cosas son bastante similares, pero con una diferencia significativa: Revolut no enviará ningún mensaje en su nombre. En cambio, le proporcionará un enlace que debe distribuir usted mismo. Esta es una opción un poco mejor, ya que la ingeniería social de una víctima potencial es un poco más difícil porque no encontraría una marca confiable por adelantado.

Durante mi breve investigación, descubrí que Venmo también tiene una característica similar. Yo no tengo una cuenta de Venmo, pero de acuerdo con sus preguntas frecuentes , los usuarios no necesitan verificar su identidad para poder solicitar dinero hasta $ 299. Eso podría facilitar que los atacantes oculten sus verdaderas identidades.

Entonces, ¿por qué estoy escribiendo sobre esto? 

PayPal, Revolut, Venmo y probablemente muchos otros ciertamente crearon una característica interesante y fácil de usar para simplificar la vida de los usuarios. Pero al hacerlo, también han creado accidentalmente una función para que los atacantes confundan a las personas para que paguen por cosas de las que no tienen idea. El mensaje que creé para este experimento es obviamente poco convincente, pero un ingeniero social capacitado podría escribir un mensaje elaborado que generaría alarma, por ejemplo, sobre impuestos adeudados, facturas impagas, etc.

Cómo mantenerse seguro al enviar y solicitar fondos a otros

La conclusión de esta publicación es simple: no envíes dinero a nadie a menos que estés absolutamente seguro de la identidad del destinatario y la razón por la que recibiste la solicitud en primer lugar. Los pagos adeudados se pueden verificar con la parte correspondiente utilizando otro canal de comunicación, como tu teléfono.