Facturas falsas tras ciertos problemas de seguridad en Sixbid

Hace 15 días recibí un correo de SixBid alertándome de que una empresa fraudulenta estaba intentando estafar a sus clientes ofreciendo «falsas segundas oportunidades». La empresa estafadora utiliza un dominio registrado en Arabia Saudí (buscándolo en whois a mí me aparece que el propietario es una empresa panameña). Ese correo instaba a que cambiásemos nuestra contraseña de Sixbid. Podéis leerlo íntegramente aquí. Según me han dicho, una casa de subastas española también ha mandado a sus clientes un correo alertándoles del mismo problema.

No di demasiada importancia al tema hasta que esta misma semana me contó un amigo su experiencia. Realmente es una estafa muy trabajada en la que muchos podríamos caer. Aquí os la relato sin más intención que evitar que a alguno de vosotros le dé un buen palo un tipo que está vaya-usted-a-saber-dónde.

La cuestión es que mi colega pujó a través de Sixbid 2.000 euros por esta onza de Carlos IV que subastaba Künker. El lote se acabó rematando en 2.600 euros y, obviamente, mi amigo no se llevó la pieza. Hasta aquí todo normal. Lo impresionante es que 10 días después de la subasta recibe el siguiente correo (he tapado los datos personales de mi colega con rectángulos negros):

Imagen mail

Imagen mail 2

Imagen mail

Mi colega se dio cuenta de que esto era una estafa por dos motivos. El primero es por el aviso previo que había dado Sixbid; el segundo porque es muy raro que si una moneda se adjudica en 2.600 euros le vayan a dar a él una oportunidad de adquirirla por 2.000. En primer lugar porque Künker no suele dar estas «segunda oportunidades». En segundo lugar porque, de darlas, lo lógico es que fuesen al segundo pujador, y es obvio que si su puja estuvo 600 euros por debajo del remate, hubo al menos dos pujadores que le superaron.

Pero el caso es muy grave. Esto es un phishing muy bien hecho, con mucha malicia y que busca estafar cantidades importantes. En primer lugar, implica la adquisición de muchos datos personales de mi colega. En el correo venía su nombre, su dirección, su correo electrónico y la puja que realizó. Obviamente ha debido haber un fallo de seguridad muy grande en Sixbid y se les han debido filtrar datos delicados de sus clientes. Siendo una empresa que cobra una cantidad muy significativa a sus clientes, errores como éste no deberían ocurrir. Pero nadie está libre de que le pueda pasar.

«¡Ojo! En este caso los estafadores han suplantado la identidad de Künker, pero podrían haber suplantado la identidad de cualquier casa de subastas que sea cliente de Sixbid»

El correo está muy bien escrito, muy bien redactado y da bastante confianza. No es la típica estafa nigeriana de alguien que no sabe escribir. Es curioso que no aparece la cuenta bancaria. Supongo que lo hacen para que Sixbid no les pueda agarrar al primer correo que les reenvíe uno de sus clientes. Supongo que eso se obtenga respondiendo al correo, como ellos piden. También se incluye el enlace a un chat. Accedí a él y me atendió un chatbot llamado María, que también estaba bastante trabajado. Después de decirle quién era (le dije que era mi colega) me respondió que al día siguiente me mandaría la factura para que realizase el pago.

Al día siguiente es cuando le mandaron la factura, que es la que muestro a continuación (al igual que en las tres anteriores, podéis pinchar en la imagen para verla en grande). Como veis, la factura falsa está a nombre de Künker pero se pide un ingreso a una cuenta en Bélgica a nombre de un tal Aman Csaba. También es curioso que añaden solo un 2.2% de comisión de compra, supongo que para hacer más atractiva la adquisición y que el estafado no se lo piense mucho antes de agarrar el chollete.

Imagen del mail

¡Ojo! En este caso los estafadores han suplantado la identidad de Künker, pero podrían haber suplantado la identidad de cualquier casa de subastas que sea cliente de Sixbid. Es decir, casi todas las casas de subastas. Por lo tanto, mucho cuidado.

Con todo, lo más importante es que seamos conscientes de esta estafa y que no caigamos en ella, pues el palo puede ser gordo. Como comentario más general, es importante controlar las contraseñas que se utilizan en las webs: no usar siempre la misma contraseña y cambiarla periódicamente es un aspecto de seguridad muy básico que todos debemos aplicar. Todas las webs reciben muchos ataques continuamente. Por seguras que sean, siempre existe la posibilidad de que uno de esos ataques rompa su seguridad y personas indeseadas acaben accediendo a los datos. Otro comentario general es que, ante cualquier cosa rara o comportamiento extraño donde se pida dinero, lo mejor siempre es ir a la supuesta fuente del correo. Cualquier persona que, aunque se creyese el e-mail, hubiera sospechado debería haber llamado a Künker y ya se hubiese dado cuenta de que era una estafa. Supongo que para eso programaron el chatbot: así muchos pensarán que han estado hablando con un empleado de Künker. Ya dije que la estafa está bien hecha.

Lo último que quiero dejar claro es que esta noticia no tiene nada que ver con el patrocinio a este blog por parte de Bid Inside, que es una empresa competidora de Sixbid (de hecho, entiendo que esta entrada beneficia a Sixbid, puesto que estoy informando a sus usuarios al igual que ellos hicieron por mail). Quienes me lleváis siguiendo tiempo sabéis de sobra que siempre escribo con las mejores intenciones y no intento perjudicar a ninguna persona ni a ninguna empresa honrada. En este caso solo he pretendido informar para evitar que algún coleccionista se vea estafado; aquí la estafa puede ser importante. Eso lo llevo haciendo 10 años y lo haría me patrocine quien me patrocine.

11 comentarios en “Facturas falsas tras ciertos problemas de seguridad en Sixbid”

  1. Manuel Berros Cáceres

    Gracias por el aviso, pero yo no ando por esas alturas de compra. Por EBay me han engañado muchas veces, unas veces he podido recuperar con pérdida devolviendo las monedas gracias a un numismático profesional conocido mío que me perita las piezas, otras son mas falsas que Judas pero ya me cansé de la batalla de la devolución, alguna pieza tengo duda pero no lo he podido demostrar. Y el caso de un «Wolf» alemán al que le envié el dinero pero arguyó que se habría perdido las monedas en Correos. Saludos. Manuel.

  2. Esto no es phishing, esto es mucho más!! Han accedido y procesado la información, mandado correos personalizados al extremo, y montado un sistema muy muy complejo.
    La recomendación de cambio de contraseña por parte de sixbid es acertada….pero no ha debido ser el foco del problema. Mandan eso dando a entender que el culpable es el cliente final por no cambiar la contraseña y nada más lejos de la realidad.
    Me preocupan las posibles acciones legales de las casas de subastas contra sixbid, aunque si tienen buena relación espero que no pase nada…
    Y me da mucha pena el último párrafo, que tengas que sanar la herida antes de que se produzca….

  3. Braulio Murciano Jimenez

    Exastamente lo mismo me ocurrio a mi hace 2 semanas. Tambien puje por una moneda en Kunker, que no se me adjudico. Recibi identicos correos para darme la oportunidad de quedarme con ella al precio de mi puja mas una pequeña comision( menor que la de la subasta). En un principio dude y pedi confirmacion a la casa kunker directamente…pero tardaron 2 dias en confirmarme que ese correo no lo habian enviado ellos. Mientras seguian mandandome avisos de esa pagina pirata. Ellos si que contestaban rapidito. Sabiendo que era ya un engaño,les dije que me mandaran la factura para ingresarle el importe. Al minuto me la mandaron , con una cuenta de ingreso de un Banco de Bruselas. Les conteste que esa cuenta no estaba entre las que tenian en su pagina oficial para hacer los pagos, a lo que me contestaron que era porque pertenecia a un agente suyo…y que si preferia una cuenta en Alemania. Les conteste que la cuenta la elegiria yo entre las que estan en su pagina….y ya no me contestaron…… En fin, hay que tener mucho cuidado con esta gente, y desconfiar de todo hasta verificarlo con seguridad. Ya puse mi caso en la pagina de Monedas Mediavales de la que soy miembro . Un saludo

  4. Adolfo Ruiz Calleja

    @Manuel, gracias por comentarnos tu experiencia. Las estafas por parte de vendedores las hemos comentado muchas veces, pero esto es distinto y se ofrece a palos mucho más gordos.

    @dracmasydenarios, de nada :-)

    @Victoria, estoy de acuerdo: esto es más que un phishing. O un phishing muy bien hecho. El agujero de seguridad claramente proviene de Sixbid: no se le puede echar la culpa a los usuarios aunque sí recomendarles el cambio de contraseñas. Es muy grave porque la filtración de datos ha debido ser importante. Además, es una estafa muy bien hecha. Esto no lo ha preparado un cualquiera.
    No sé cuáles serán las consecuencias legales de todo esto. Probablemente las casas de subastas que sean clientes de Sixbid podrán denunciar a Sixbid. Pero claro, detrás de Sixbid está Künker y no creo que a nadie le convenga llevarse mal con ellos. No creo que acaba habiendo una denuncia, siempre es mejor llegar a pactos en caso de que haya perjudicados.
    Lo de tener que ponerme la venda antes de tener la herida es porque ya me conozco al personal. Seguro que no falta quien diga lo de que «excusatio non petita, accusatio manifesta». Quien quiera criticar siempre va a encontrar una razón. Yo me limito a informar, que es lo único que pretendo.

    @Braulio, extraordinario el comentario. Ya veo que hay más casos. Se me pasó por alto tu hilo en el grupo de Facebook de Monedas Medievales. Lo podéis encontrar aquí: https://www.facebook.com/groups/167049643730512/permalink/646774205758051/

    Saludos,
    Adolfo

  5. Ya vi el anuncio en Sixbid pero la verdad es que me ha sorprendido el nivel de sofisticación. Es decir, se pueden hacer con el listado de usuario y contraseñas pero que luego te manden un correo con el lote por el que has pujado ya es alucinante. Supongo que se habrán dedicado a entrar en cada usuario a ver sus pujas o quizás han conseguido acceso al sistema de Sixbid. En fin, menuda tela.

    Lo encuentro bastante grave, la verdad. Yo porque mis pujas son pocas y por pocos cientos de euros y ganadas aun menos pero si fuera un usuario que se ha llevado monedas de miles de euros no estaría muy contento que una banda de delincuentes tuvieran mi dirección.

    Por cosas como estas no hay que poner tarjetas de crédito en según qué sitios. Si me piden una para permitirme pujar pues no participo y arreando

    La onza de Carlos IV muy bonita, por cierto

    1. Buenas noches Curial.
      Con conocimiento de causa «es mala suerte». Hasta las empresas punteras están en pañales en seguridad.
      Si no caen más fraudes y sistemas es porque hay muchos menos estafadores que sitios estafables.
      Es como que un buen carterista te robe en el metro….los profesionales del delito pueden con casi todos, si no caen más víctimas es porque el porcentaje de delincuentes es bajo.
      No se puede vivir con miedo, puja donde quieras , y compra donde quieras, siempre que reconozcas una entidad fiable detrás.
      El phishing es peligroso justo por eso, pero como dice siempre Adolfo….si la oferta no tiene sentido de jugosa que es…. Hay gato encerrado

  6. Bajo el RGPD, el Controlador de Datos estará bajo la obligación legal de notificar a la Autoridad de Supervisión sin demora indebida. La notificación de una filtración de datos no está sujeta a ninguna norma de minimis y debe notificarse a la Autoridad de Supervisión dentro de las 72 horas posteriores a haber tenido conocimiento de la violación de datos (Artículo 33). Las personas deben ser notificadas si se determina un impacto adverso (Artículo 34). Además, el procesador de datos deberá notificar al controlador sin demora después de conocer una violación de datos personales (Artículo 33).

    Sin embargo, la notificación a los interesados ​​no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas apropiadas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada para acceder, como el cifrado (Artículo 34).

    https://es.wikipedia.org/wiki/Reglamento_General_de_Protecci%C3%B3n_de_Datos

    1. Jajaja…. No quería ponerme tan técnica.
      Cifrados no estaban porque han accedido sin problemas.
      Tienen obligación de informar de la vulnerabilidad en cuanto la conozcan, como de hecho lo han hecho. Pero el problema se superará si alguien es estafado finalmente

  7. Bajo mi opinión, ya que también soy del gremio de la informática, es muy muy grave el tema de que los datos estén sin cifrar. Ya se sabe que hay ataques, que se pueden robar los datos… pero que los datos críticos como las contraseñas estén en la base de datos sin cifrar es de una falta de profesionalidad importante. Es como cuando pides recuperar una contraseña (o te registras en un sitio) y te envían la contraseña en plano a tu correo electrónico, me da una sensación malísima de la empresa en cuestión.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio