La semana pasada abordábamos el auge de una técnica telefónica de ciberestafa, conocida como 'spoofing', y consistente en la suplantación de organismos públicos, operadoras telefónica e instituciones financieras para engañar a los usuarios con el fin de que cedan sus datos personales y/o bancarios.
Hoy os traemos una nueva campaña de timos centrada en la suplantación, tanto por SMS como mediante llamada telefónica, de uno de los principales bancos españoles, el BBVA. Y es una campaña efectiva: recientemente, un afectado denunció el robo de más de 3.000 euros como resultado de la misma, según el testimonio recopilado por elDiario.es.
El proceso comienza con un mensaje SMS que tiene como objetivo generar una sensación de urgencia en la víctima para que ésta baje sus defensas y caiga en la trampa. En el caso denunciado, el mensaje SMS se hacía pasar por el BBVA y se insertaba de manera convincente en la cadena de mensajes legítimos del banco. Este mensaje, en resumen, notificaba un "inicio de sesión desde un dispositivo nuevo".
Pocos minutos después, la víctima recibe otro mensaje SMS que alerta sobre un "riesgo de fraude en el sistema" y le insta a transferir fondos a una cuenta nueva. Hasta este punto, el ataque sigue un patrón típico de estafas por SMS, pero a partir de aquí, se vuelve aún más sofisticado. Y es que, mientras la víctima espera a que le atiendan en la línea telefónica oficial del banco, recibe un tercer mensaje SMS:
"Siga las instrucciones vía telefónica para cancelar la operación. Comparta solo la información con la agente: Alejandra Santos".
Luego, recibe una llamada telefónica con el mismo número que había marcado previamente para contactar con el banco, lo que genera confianza de la víctima en su interlocutor, que se presenta como la citada Alejandra Santos. Tras eso, 'Santos' solicita a la víctima que realice transferencias a una cuenta nueva, indicando que debe poner su propio nombre como destinatario.
Un detalle irrelevante, pues los destinatarios reales son los ciberdelincuentes.
Un caso grave de suplantación
Suplantar al remitente de un SMS es, la verdad, algo bastante fácil; por ello debemos mostrar cierta saludable desconfianza hacia los mensajes que nos lleguen por este medio. Pero la suplantación de un número durante una llamada es un paso más complejo, y, desde luego, explica que mucha gente que no caería en otros timos más simples sí termine cayendo en este.
Se desconoce cuál de las técnicas disponibles —todas ellas ilegales— han utilizado los estafadores en este caso.
En cualquier caso, los bancos son conscientes de la gravedad de estas estafas telefónicas, y ya han comenzado a poner en marcha campañas (en medios y en redes sociales) para informar a sus clientes de que:
- La entidad nunca solicitará sus claves de acceso ni códigos de SMS por teléfono.
- Tampoco le solicitará realizar transferencias por teléfono.
- Por lo tanto, cualquier llamada que lo solicite será fraudulenta.
Vía | El Diario
Imagen | Pixabay
En Genbeta | "La estafa online más sofisticada que he visto". Así están timando a los nuevos usuarios de Vinted
