No hay ningún scam respecto de estos servicios para monitorear la calidad de la atención al cliente, ni en las webs donde es posible apuntarse, que han tenido mucha popularidad en Estados Unidos desde hace años, sin embargo, también hay envíos de correos electrónicos donde se ofertan puestos casuales de trabajo como mistery shopper o comprador misterioso, como otras engañosas ofertas de empleo por email. Además de pedir datos al internauta sin identificarse como empresa ni las condiciones del trabajo, la sospecha principal está en pedir envíos de dinero o cobrar alguna tasa de admisión, con excusas como: -certificado de capacitación, -materiales de formación, -petición de datos bancarios o tarjetas para reembolsar el importe de la compra, etc. Para cualquier tipo de trabajo, aún en listas temporales para empleo parcial incluso de días sueltos, la empresa paga al trabajador, no al revés. Tampoco es común garantizar trabajo continuado, ni un sueldo semanal, ya que son oportunidades esporádicas según requerimientos de empresas que usan este servicio por controlar la calidad de su atención al cliente.

Información en inglés:

- Employment and mistery shoppers scam.
- Consumer fraud reporting.

También se da el caso de emails que prometen llevar al incauto a un sitio de citas o directamente una especie de agencia matrimonial que en realidad es una web scam que rapidamente pide dinero al usuario antes de dejarle entablar contacto con otros miembros de la comunidad.

A través del blog de seguridad informática de ESET Latinoamérica, me entero de que la práctica sigue en alza, con el tipico scam de las mujeres rusas que buscan encontrar un marido para ganar estabilidad fuera de su pais. El email en cuestion promete al usuario entrar en contacto con mujeres rusas solteras buscando marido y le dirige a una web que simplemente tiene una galeria superior de modelos que parecen nórdicas y un formulario a rellenar, pero ni rastro del formato normal de las comunidades de internet con perfiles de usuarios, novedades, noticias o blogs; solamente un formulario de registro.

Posteriormente, el usuario recibe por correo electrónico las credenciales de acceso a un portal que, como siempre, pide dinero a las víctimas, siendo en realidad toda la plataforma un engaño. El internauta que accede debe abonar dinero directamente para comunicarse con otras personas en la red. Algo que no tiene nada que ver con los sitios fiables de internet donde tienes acceso gratuito hasta un cierto punto y para algunas funcionalidades de la comunidad tienes que pagar un pequeño importe o una suscripción mensual para cuenta premium.

Albert Gonzales, un informático de 28 años de Miami, y sus colaboradores han sido acusados de irrumpir en las bases de datos de cinco compañías que utilizaban sistemas de procesamiento de pagos bancarios. Los números fueron robados de Heartland Payment Systems, un sistema de procesamiento de pagos con tarjeta y las cadenas de comercios 7-Eleven Inc y Hannaford Brothers Co. Las otras dos ví­ctimas no han sido identificadas. Heartland dio a conocer el robo a finales de enero. Durante su trayectoria fue utilizando diferentes alias de los cuales se conocen tres: ‘segvec’, ‘soupnazi’ y ‘j4guar17′.

Segun los fiscales, Gonzales y sus colaboradores se dirigieron a las mayores compañías escrutando la lista de la revista ‘Fortune’ de las 500 principales compañías y exploraron sus páginas web corporativas para identificar sus puntos flacos. Los sospechosos pretendían vender los datos a otros que los utilizasen para hacer compras fraudulentas.

Primero, los criminales fueron a establecimientos para identificar el tipo de máquinas de pago que utilizaban. “A partir de octubre de 2006, Gonzales y sus conspiradores investigaron los sistemas de tarjetas de crédito y débito empleados por sus víctimas; idearon un ataque mediante SQL Injection o inyección de código SQL para penetrar en sus redes y robar los datos de tarjetas de crédito y débito; y después enviaron esos datos a servidores que operaban en California, Illinois, Letonia, Holanda y Ucrania”, indica el Departamento de Justicia en una nota.

Un ataque por inyección SQL aprovecha una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos SQL de una aplicación, ya sea un software libre o comercial. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. No es un ataque muy sofisticado o fuera de lo común, este error es de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que está incrustado dentro de otro. Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.

Por ejemplo, el tener instaladas extensiones de terceros dentro del nucleo de un software, puede ser un agujero para este tipo de ataques si la extensión instalada dentro de un núcleo seguro tiene vulnerabilidades. Por este motivo siempre se recomienda verificar cualquier extensión o plugin de un CMS o script.

Gonzales está en la cárcel desde mayo de 2008 a la espera de ser juzgado por otro ‘cribercrimen’ junto a varias personas. Le acusan de haber participado en el ‘crackeo’ de la base de datos de la cadena de restaurantes Dave & Busters.

Según informaciones en el diario Guardian, “Ninguno de sus métodos es revolucionario, se ven este tipo de técnicas en scams casi cada dia” declaró Graham Cluley, un consultor de la compañia de seguridad y tecnologia Sophos. Añadió que: “Parece que existiese un motivo para buscar unicamente grandes compañias y a su vez esta noticia ha descubierto sus carencias en protección de datos.”

En septiembre empezará este juicio y, el año que viene, está previsto que sea juzgado por el que iba a ser su gran golpe. Se enfrenta a una pena de 25 años de cárcel. Habia sido detenido anteriormente por robo de datos en tarjetas bancarias en el año 2003 pero se salvó de ser encarcelado aceptando ser informador y colaborador al servicio de agentes de seguridad americanos.

Desde Wired, se informaba también de que su tren de vida era altísimo y además de lograr grandes sumas en sus delitos, gastaba gran parte de su fortuna, valorada en $1.6 millones de dólares.

Es de esta forma que me entero por Tulsa World de una alerta de spam basada en ofertas de empleo por mail, y claro como no iban a aprovechar los spammers la crisis que se vive de manera global, para evadir el sentido común de las personas y lograr sus actos delictivos.

El correo en cuestión supone ser una oferta de empleo por parte de una o más empresas inglesas, la cual te propone 12 semanas de vacaciones totalmente pagadas por dicha compañia, un sueldo bueno y el atractivo de que para ocupar los puestos vacantes no es necesario tener ninguna experiencia laboral previa ni un grado de educación explicito.

Dichos mails vienen cargados con enlaces a las webs de compañias legítimas para no levantar sospechas por parte de los destinatarios, sin embargo la sorpresa viene cuando después de leer el mensaje y respondiendo a la necesidad de trabajo, la persona se dispone a rellenar la solicitud de empleo que viene en un archivo adjunto, el cual oculta un virus de alto peligro.

Es así que lo más recomendable es estar atento a cualquier oferta de empleo que nos llegue por correo, y si corresponde a una empresa inglesa o tiene las características que mencionamos es mejor dejarlo pasar de largo y borrarlo.