Estafas de Cash App: los sorteos legítimos impulsan a los estafadores oportunistas
Los estafadores atacan a usuarios vulnerables de Cash App en Twitter e Instagram a través de solicitudes falsas, esquemas de cambio de dinero que prometen multiplicar (money flipping) y recomendaciones de aplicaciones móviles, al mismo tiempo que los videos de YouTube promocionan generadores de Cash App falsos. Esto es lo que debe saber.
Cash App, la popular aplicación de servicios de pagos de persona a persona (P2P) de Square, ha estado creciendo constantemente desde su debut a fines de 2013. El crecimiento del servicio ha sido impulsado por una campaña de marketing promocional que ofrece regalos en efectivo a aquellos que interactúan con la marca en diversas plataformas de redes sociales. El éxito de estas promociones, a su vez, alienta a un ejército de estafadores que emplean diversas estafas para quitarles a los usuarios de redes sociales el dinero que ganaron con tanto esfuerzo.
Si observamos las cifras, es fácil ver por qué Cash App es un objetivo tan prometedor para los estafadores. Según un artículo de MarketWatch de agosto de 2019, Cash App registró la enorme cantidad de 2,4 millones de descargas en julio de 2019. El mismo artículo señala que la aplicación Cash App ha sido descargada 59,8 millones de veces desde su lanzamiento en 2013, superando a su mayor competidor, Venmo, que ha sido descargada 52,7 millones de veces.
La música ha jugado un papel importante en la popularidad de Cash App, ya que 200 artistas de rap han mencionado la aplicación en letras de canciones y han utilizado la aplicación para darles dinero a los fanáticos, ya sea "porque sí", como hizo Lil B, o como parte de un sorteo porque su álbum llegó al primer lugar, como hizo Travis Scott.
Algunas marcas de consumo también han lanzado campañas de marketing que utilizan el servicio. Por ejemplo, Burger King comenzó su promoción de Préstamos Whopper con un sorteo mediante Cash App.
¿tienes préstamos estudiantiles? ¿cuál es tu $cashtag?
— Burger King (@BurgerKing) 22 de mayo de 2019
En esta serie de dos partes, se detallan las prácticas que descubrí mientras investigaba a estos estafadores entre julio y septiembre de 2019. No se pretende que esta investigación sea una descripción completa de todas estas estafas, sino un análisis de las tendencias de comportamiento entre un grupo de estafadores que apuntan a la popularidad y el interés en torno a una aplicación en particular.
Aquí, en la primera parte, analizo cómo la creciente popularidad de Cash App atrae a estafadores oportunistas y cuáles sus métodos de operación en Twitter e Instagram. En la segunda parte, proporciono más detalles sobre las tácticas utilizadas por los estafadores de Cash App en Instagram, y además examino videos alojados en YouTube, en los que se ofrecen formas de ganar "dinero gratis" y de "hackear" Cash App. Además, brindo orientación y asesoría sobre cómo los usuarios del servicio de pago P2P pueden evitar ser estafados.
Sorteos de #CashAppFriday y #SuperCashAppFriday
Desde 2017, Square ha estado haciendo un sorteo semanal para los usuarios de Cash App con el hashtag #CashAppFriday y, en una ocasión, #CashAppWednesday. La premisa es muy simple: Todos los viernes, Cash App publica sobre el sorteo usando los hashtags #CashAppFriday o #SuperCashAppFriday en Instagram y Twitter, y los usuarios pueden participar compartiéndolo en sus historias, retuiteándolo o respondiendo a los mensajes con su $cashtag, un identificador único para usuarios y negocios que facilita el envío y la recepción de dinero. La empresa selecciona a los ganadores al azar y deposita una cantidad no especificada de dinero en sus cuentas de Cash App. Recientemente, la empresa lanzó otro sorteo llamado #SuperCashAppFriday, que ofrecía premios por un total de entre USD 10 000 y USD 75 000, y depositó entre USD 100 y USD 500 en cuentas de usuarios de Cash App.
Obviamente #CashAppFriday ha sido muy popular. Cada semana, es una de las principales tendencias en Twitter, y recibe miles de tuits durante cada evento.
En Instagram, un reciente sorteo de Cash App de USD 75 000 hizo que Instagram tuviera que limitar los comentarios en la publicación, lo cual demuestra lo populares que son estos sorteos.
No es de extrañar que los sorteos legítimos de Cash App sean un caldo de cultivo para los estafadores.
Propagación de estafas de #CashAppFriday
El lugar más obvio para encontrar estafadores de Cash App es en las respuestas a las cuentas de redes sociales de la aplicación Cash App de Square en Twitter e Instagram cuando usan el hashtag #CashAppFriday y #SuperCashAppFriday.
Los estafadores de Cash App tienden a publicar alguna variación del mismo tema: regalamos "X" cantidad de dólares a los primeros "Y" usuarios que retuiteen este tuit. También piden a los usuarios que respondan o les envíen un mensaje directo (DM) con sus $cashtags.
Sin embargo, no todos los estafadores de Cash App responden directamente a @CashApp en Twitter. En cambio, "se suman al hashtag", porque los hashtags de Cash App siempre son tendencia en Twitter.
En el curso de mi investigación, también he encontrado algunos estafadores de Cash App que no utilizan ninguno de los hashtags de Cash App en absoluto. Por lo general, se trata de la misma promesa de un sorteo a los primeros X usuarios que retuiteen e incluyan su "nombre de cashapp" ($cashtag).
Revise las respuestas
En los tuits de los estafadores de Cash App, a menudo se encuentra un mar de $cashtags de los usuarios en las respuestas, similar a lo que se puede ver en las respuestas a la cuenta real de Twitter de @CashApp. Entre estas respuestas, verá que el estafador de Cash App responde con mensajes que dicen "Envíame un DM" a las víctimas potenciales.
Curiosamente, algunos de los estafadores de Cash App utilizan sus otras cuentas fraudulentas para simular un falso compromiso, poniendo “me gusta”, retuiteando o respondiendo en un esfuerzo por crear un aura de legitimidad en torno a sus estafas.
Un buen ejemplo: una cuenta fraudulenta de Cash App llamada "Eva" tuiteó sobre un regalo a las "primeras 900" personas. En las respuestas a Eva, tres cuentas fraudulentas de Cash App respondieron por separado, afirmando que la oferta era legítima, y más aún, incluyeron capturas de pantalla de Cash App para respaldar sus afirmaciones. Aquí se presentan algunas señales de alerta.
En primer lugar, las capturas de pantalla incluyen valores en dólares inferiores o superiores a la cantidad ofrecida de USD 900. En segundo lugar, las capturas de pantalla muestran la perspectiva del estafador, lo cual es inusual. Esto se debe a que dice que "se hizo un depósito instantáneo en su cuenta bancaria" de una cierta cantidad de dólares, lo que significa que el dinero se transfirió de Cash App a una cuenta bancaria, no a un usuario de Cash App. Esto es inusual, porque la mayoría de los estafadores de Cash App que he observado suelen publicar capturas de pantalla con ejemplos de dinero enviado a usuarios no identificados.
Por último, y lo más importante, observe atentamente la cantidad en dólares que se ofrece y la cantidad de usuarios que pueden participar en el sorteo. En este caso, es USD 900 para 900 usuarios, lo que equivale a USD 810 000. Cuando Cash App hace sorteos, por lo general, ofrece una suma de dinero más modesta, tan baja como USD 5 por persona en algunos casos. Incluso en promociones en que las cantidades del sorteo son mayores, como en un #SuperCashAppFriday, la oferta nunca supera los USD 10 000-USD 75 000 en total. Las cuentas no cuadran, y en la mayoría de los sorteos fraudulentos de Cash App, nunca lo harán.
Existen incluso algunos casos en los que diferentes estafadores de Cash App invaden el territorio de otros estafadores, como se puede ver en la captura de pantalla anterior.
Además de ver estas capturas de pantalla de transacciones de Cash App, también he visto algunos de los videos e imágenes favoritos y retuiteados de los estafadores de Cash App, que muestran a personas con una gran cantidad de dinero en efectivo en sus manos que afirman haberlo recibido del estafador de Cash App. Si bien no está confirmado, sospecho que estas cuentas también son propiedad de los estafadores y son operadas por ellos.
Cambio de dinero: una estafa atemporal
Detrás de los sorteos fraudulentos de Cash App, hay una estafa atemporal en marcha. Ya se ilustra en un sketch de Abbott y Costello, llamado "Two Tens for a Five". Comienza con un confiado Costello, a quien Abbott le pregunta si puede cambiar dos billetes de 10 dólares por su billete de 5 dólares, lo que genera una ganancia de 15 dólares para Abbott y una pérdida de 15 dólares para Costello.
En el caso de las estafas de Cash App, siguen el modelo de lo que se llama cambio de dinero (o efectivo). Los estafadores les piden a las víctimas que aporten una cierta cantidad de dinero, que puede oscilar entre USD 10 y USD 1000. Los estafadores afirman que pueden modificar la transacción después de que haya sido publicada porque tienen algún "software" o porque son representantes de servicio al cliente, lo que les permite cambiar el valor en cualquier servicio de pago que utilicen (en este caso, Cash App). Todo lo que piden es que la víctima les proporcione un pequeño porcentaje por sus "servicios".
El cambio de dinero no es nuevo en las redes sociales; se ha generalizado en Twitter, Facebook, Instagram y Snapchat durante años. Lo que hace que esta forma particular de cambio de dinero sea tan nefasta y exitosa es que aprovecha una propuesta de sorteo legítima de una compañía prestigiosa, Square y su producto Cash App, y luego convierte en víctimas a las personas que esperan ser seleccionadas en este sorteo real. Como un indicador perverso de su éxito, parece que los sorteos legítimos de Cash App impulsan a otros estafadores de cambio de dinero a elegir Cash App como su producto preferido.
Sucede en el mensaje directo
Cuando les piden a los usuarios que envíen mensajes directos a estos estafadores, les dicen que se necesita un paso más antes de que puedan recibir el premio del sorteo.
Los estafadores de Cash App afirman ser "representantes de servicio al cliente" de Cash App y hablan sobre cómo pueden cambiar transacciones desde su sistema. Luego, hablan de ejemplos de montos en dólares que pueden cambiarse a montos más altos, comenzando por un monto inferior (por ejemplo, USD 50), hasta llegar a un monto superior (por ejemplo, USD 100). También afirman que tienen pruebas. Si se los presiona con más preguntas, los estafadores dejarán de responder.
Si un usuario acepta la estafa, se le pedirá que envíe el pago inicial al estafador de Cash App. La realidad es que el estafador de Cash App recibirá el pago y nunca responderá al usuario después de haber recibido el pago inicial, y lo dejará desamparado. Sin embargo, especulo que en algunos casos, ciertos estafadores de Cash App pueden entregar una suma de dinero pequeña primero para ganarse la confianza del usuario. Por ejemplo, pueden cumplir la promesa de convertir USD 2 en USD 20 para probar que el "cambio" funciona. Desde la perspectiva del estafador de Cash App, es una inversión mínima para ganarse la confianza de la víctima. A partir de ahí, el estafador le pedirá al usuario que intente enviarle una suma de dinero mayor, entre USD 50 y USD 100. Este "cambio" para ganarse la confianza del usuario probablemente sea bastante raro. A mi juicio, la mayoría de los usuarios envían una cierta cantidad de dinero al estafador de Cash App y nunca más vuelven a saber de él.
Los estafadores de tarjetas de regalo encuentran terreno fértil en los sorteos de Cash App
En otros casos que he observado, algunos estafadores de Cash App le piden al destinatario que se gane su confianza pidiéndole que vaya a un sitio web o a una tienda física y compre una tarjeta de "regalo" prepagada.
En un artículo de 2018 de la Comisión Federal de Comercio (FTC) de los Estados Unidos, el organismo observó un impactante aumento del 270 por ciento en la demanda de pagos con tarjetas de regalo de los estafadores desde 2015. Por lo tanto, no es sorprendente ver los restos de esta estafa en el mundo de las estafas de Cash App, porque es mucho más difícil rastrear el robo de fondos de una tarjeta de regalo que identificar a un estafador de Cash App, que usa la plataforma con un $cashtag y un número de teléfono asociados.
Abuso de las bonificaciones por recomendación
Además de las tarjetas de regalo, otra estafa de Cash App involucra la promesa de una "bendición" a cambio de que el usuario se registre en servicios de devolución de dinero, como Dosh Cash, y el servicio de seguimiento de caída de precios Waldo, ninguno de los cuales está afiliado a Cash App de Square.
Dosh Cash y Waldo incentivan las recomendaciones, y ofrecen USD 5 por cada recomendación para los usuarios que se registren usando un enlace o código de recomendación y vinculen una tarjeta de crédito o débito. Como se puede ver en los tuits anteriores, un estafador de Cash App convenció a un usuario para que se registrara en ambos servicios. En los mensajes directos, este usuario dice "Ya hice mi parte, ahora tienes que hacer la tuya" y "Me dijiste que hiciera eso con el último enlace y aún no me enviaste el dinero por Cash App". El estafador de Cash App con el que se relacionó esta persona ha estado operando este esquema en particular desde el año 2018 al menos.
Solicitudes entrantes de estafadores de Cash App
Por lo general, en #CashAppFriday, Cash App envía dinero al azar a los usuarios que responden a sus tuits o publicaciones de Instagram. Los usuarios que tienen la suerte de recibir una "Bendición de Cash App" verdadera a veces comparten capturas de pantalla y le agradecen a la empresa.
La captura de pantalla anterior muestra una interacción genuina de un usuario que realmente recibió USD 5 de la cuenta verdadera de Cash App. Se puede saber que las solicitudes provienen de la cuenta verdadera de Cash App porque aquí el $cashtag es $cashapp.
Sin embargo, eso no ha impedido que los estafadores de Cash App se hagan pasar por la empresa. En lugar de enviar dinero a usuarios desprevenidos, los estafadores de Cash App usan la funcionalidad de "solicitar" de Cash App para pedir dinero a los usuarios con fines de "verificación".
En el ejemplo anterior, el usuario al principio pensó que había recibido una "bendición", pero en vez de eso se le pidió que enviara USD 10 para su "verificación" a fin de recibir USD 500. En este caso, el estafador de Cash App usó la misma foto de perfil que la cuenta de Cash App real, pero no tenía el mismo nombre.
En otro caso, un estafador de Cash App usó la misma funcionalidad de "solicitar", pero su cuenta tenía una imagen de perfil diferente y el nombre incluía un espacio entre la "C" y "ash" en la palabra Cash. Cash App evita que los usuarios asignen "Cash App" a su nombre completo en un esfuerzo por impedir la suplantación de identidad. Sin embargo, es claro que eso no ha impedido que los estafadores encuentren soluciones alternativas.
La suplantación de identidad persiste en las estafas de Cash App
Anteriormente, informé sobre el fenómeno de la suplantación de identidad en aplicaciones de redes sociales como TikTok. Por lo tanto, no es ninguna sorpresa que los estafadores utilicen tácticas de suplantación de identidad de varias maneras en estafas de Cash App. Los impostores más obvios en las estafas de Cash App son aquellos que hacen publicaciones como la cuenta de Cash App verdadera o que dicen ser representantes de servicio al cliente de Cash App.
Algunas cuentas de suplantación de identidad utilizan imágenes oficiales de Cash App. Otras utilizan imágenes que son similares, pero no exactamente iguales.
El otro aspecto curioso del impostor de arriba es que dice que también acepta pagos a través de Apple Pay e incluye una captura de pantalla de una tarjeta de Apple Cash con más de USD 2000. Apple Cash es el producto de P2P de Apple diseñado para competir con Venmo y Cash App
Algunos impostores que dicen ser representantes de Cash App usan fotos de personas reales. En el caso anterior, este impostor se hace llamar Nickoli Foxworth. En realidad, Nickoli está usando una foto de un empresario checoslovaco llamado Pavol Krúpa.
Ninguna suplantación de identidad estaría completa si los estafadores de Cash App no se hicieran pasar por Jack Dorsey, CEO de Twitter y Square.
Este mismo impostor que suplantó la identidad de Jack Dorsey en Twitter también operaba una estafa en Instagram, donde había conseguido casi 3000 seguidores. El impostor aseguró que había sido "hackeado" al llegar a 16 000 seguidores, pero es más probable que Instagram haya eliminado la página fraudulenta anterior.
Aparte de los llamados "representantes de Cash App" y las suplantaciones de identidad de Jack Dorsey, es probable que muchos de los estafadores de Cash App usen fotografías e imágenes robadas de personas reales para crear sus cuentas.
Por ejemplo, un estafador de Cash App usaba fotografías de una modelo de Instagram llamada Valentina Adall y se hacía pasar por ella.
El estafador de Cash App, que tenía 12 000 seguidores, publicaba ofertas de #CashAppFriday. Cuando los usuarios le enviaban un mensaje directo, les decía el mismo discurso de que podía alterar las transacciones para obtener una "mayor cantidad" en Cash App o Apple Pay.
En este caso, el estafador de Cash App solicita USD 300 de inmediato, lo cual es mucho más de lo que piden la mayoría de los estafadores de Cash App al principio.
Valentina Adall tiene una cuenta en Twitter y especifica en su biografía que es su "ÚNICA cuenta", lo que implica que ya se hicieron pasar por ella en Twitter anteriormente.
Se enteró de la cuenta fraudulenta del estafador de Cash App, y retuiteó con sarcasmo uno de sus tuits y dijo que eran parecidas y que "podrían ser gemelas".
No todas las suplantaciones de identidad son suplantaciones directas. Investigué una cuenta de estafa de Cash App que usaba fotos y contenido de video de Famous Ocean, miembro de Hollywood Dollz, pero que se había puesto el nombre de "Essence".
Por ejemplo, la imagen de avatar utilizada por el estafador de Cash App llamado "Essence" fue tomada de la página de Instagram de Famous Ocean.
En otro ejemplo, un estafador de Cash App que decía llamarse Patrick Bowker aseguraba "bendecir a los necesitados a través de cashapp".
En este caso, Patrick Bowker utiliza una imagen del ex-CEO y presidente de Google, Eric Schmidt.
Además de #CashAppFriday, los estafadores de Cash App también apuntan a sorteos que no están directamente afiliados a Cash App, pero que utilizan Cash App como plataforma para enviar dinero. Alfredo Villa, un popular youtuber que se hace llamar "Prettyboyfredo", hace sorteos de Cash App en su cuenta de Twitter para sus casi 400 000 seguidores.
Cuando las personas ven estos sorteos, responden instantáneamente con sus $cashtags. Responder con $cashtags proporciona a los estafadores la información que necesitan para apuntar a estos usuarios desprevenidos.
Un usuario de Cash App mencionó en Twitter a @Prettyboyfredo, le preguntó sobre el sorteo y publicó una captura de pantalla de una solicitud de USD 20 que recibió de Cash App. El mensaje decía "Felicitaciones, ganaste. Verifica que sea una cuenta real para obtener USD 1000". Esto es similar a las cuentas falsas de Cash App que envían las solicitudes entrantes que mencioné anteriormente.
Estos sorteos de las cuentas de Cash App no afiliadas parecen ser todo un éxito, como se evidencia en la imagen de arriba. Por lo tanto, aunque los estafadores de Cash App no creen cuentas de suplantación de identidad en Twitter, les resulta mucho más fácil crear una cuenta de suplantación de identidad a través de Cash App.
Además de las suplantaciones de la propia marca Cash App, su CEO y personalidades notables, cabe suponer que la mayoría de los estafadores de Cash App utilizan imágenes y contenido de video robados para crear personajes falsos.
Phishing de Cash App
Durante mi investigación, también encontré intentos de phishing hacia usuarios de Cash App. Un usuario llamado @dropyourcashtag, que usaba el hashtag #CashAppFriday, enviaba mensajes directos a los usuarios en los que les decía que habían ganado el sorteo y que para recibir el pago, debían hacer clic en un enlace a un sitio web con un mensaje que decía "Ingresa y recíbelo".
A diferencia de la mayoría de las aplicaciones y servicios, Cash App no solicita una contraseña. En cambio, solicita una dirección de correo electrónico o un número de teléfono como nombre de usuario, lo que desencadena una solicitud de un "código de inicio de sesión" de un solo uso, también conocido como contraseña de un solo uso (OTP). El código se envía a la dirección de correo electrónico o al teléfono móvil del usuario, como se muestra en la siguiente imagen.
Por lo tanto, los sitios web de phishing de Cash App tendrán un aspecto diferente del de un sitio web de phishing normal.
En el ejemplo anterior, el sitio web de phishing de Cash App indica que el cashtag “$cash” (que no está afiliado a Cash App) "inició un depósito de USD 1000 a su Cashapp".
El sitio web de phishing de Cash App utiliza un certificado de Secure Sockets Layer (SSL) obtenido de Let’s Encrypt y solicita un correo electrónico o teléfono móvil. Le sigue una segunda pantalla, en la que se le pide al usuario que proporcione su contraseña de un solo uso (OTP). Si se ingresa una OTP no válida aparece un mensaje de error, lo que implica que hay algún tipo de verificación para garantizar que el usuario proporcione su OTP válida. Para proteger mi privacidad durante esta investigación, no proporcioné mi OTP.
Sin embargo, observé a un usuario de Twitter que proporcionó su información a uno de estos sitios de phishing de Cash App y llegó a una página web falsa que decía "Error en el pago". El mensaje de error probablemente hará creer al usuario que se trata de un simple problema técnico en el envío del supuesto pago de regalo, en lugar de una estafa.
Pude identificar al menos dos enlaces de phishing de Cash App, los cuales utilizaban el servicio de abreviación de URL de Bitly. Las estadísticas de esos dos enlaces mostraron que cada uno de ellos recibió más de 500 clics, en su mayoría de usuarios de los Estados Unidos, con unos pocos clics del Reino Unido, Nigeria, Filipinas, Australia y Guatemala. Aunque Cash App está disponible fuera de los Estados Unidos, los sorteos de #SuperCashAppFriday y #CashAppFriday se limitan a participantes de los Estados Unidos.
Tenable notificó a Cash App acerca de los hallazgos a los que arribamos en nuestra investigación antes de su publicación. Un vocero de Cash App nos proporcionó la siguiente declaración:
"Estamos al tanto de las cuentas de redes sociales que afirman estar asociadas con Cash App. Hemos estado trabajando con Twitter e Instagram para desactivar todas las cuentas que infrinjan nuestros derechos de propiedad intelectual (por ejemplo: usar nuestro nombre o logotipo sin permiso) o que intenten aprovecharse de nuestros clientes.
Como recordatorio, el equipo de Cash App nunca pedirá a los clientes que les envíen dinero, ni solicitará el PIN o el código de acceso de un cliente fuera de la aplicación. Además, Cash App tiene actualmente solo dos cuentas oficiales de Twitter, @cashapp y @cashsupport, ambas con marcas de verificación azules. Si cree que ha sido víctima de una estafa, debe ponerse en contacto de inmediato con el servicio de asistencia de Cash App a través de la aplicación o el sitio web".
En la segunda parte de esta serie, proporciono detalles sobre cómo los estafadores de Cash App operan de manera similar en Instagram y analizo cómo los estafadores crean videos de YouTube en los que dicen ofrecer formas de ganar dinero gratis a través de Cash App mediante la descarga de aplicaciones. La segunda parte también incluye consejos y mejores prácticas para ayudar a los usuarios a evitar caer en estos esquemas.
Artículos relacionados
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning