Cada día las ciberestafas se vuelven más peligrosas y sofisticadas, hasta el punto de que ya estamos viendo ataques que combinan mensajes SMS y llamadas de teléfono para robar claves de la banca online. Es uno de los objetivos más preciados, y no se escatiman medios para conseguirlo.
Las campañas masivas de mensajes o emails enviados por ciberdelincuentes han perdido efectividad, pues los usuarios conocen estos fraudes, así que han dado el paso a estrategias mucho más elaboradas, con varios pasos.
Recientemente, se han visto ataques de phishingcontra Bancos. La estafa comienza con un SMS bastante habitual, que habla de “intentos de acceso sospechosos a su cuenta” para generar alarma:
La ortografía del SMS deja algo que desear, aunque los siguientes elementos sí están muy cuidados. Además, a causa de las diferentes vulnerabilidades del protocolo de los SMS, los mensajes falsos parecen venir del mismo remitente que los que el banco haya enviado en el pasado.
Al pulsar el enlace, una web falsa nos pide el usuario y la contraseña de la banca online, además del número de móvil asociado, algo clave para entrar en la banca online.
Lo llamativo es que nos avisa de que un operador nos llamará para confirmar los datos, algo relativamente novedoso en estas situaciones, y que genera más confianza en las víctimas.
Cuando los llamen, se harán pasar por un empleado de la entidad financiera, e incluso llegan a falsificar el número del teléfono. Aunque los llamen desde un número largo a través de Internet (VoIP), se consigue modificar el nombre del remitente para que aparezca el número real de atención al cliente de la entidad.
El ciberdelincuente pedirá las claves de la banca online, gracias a las que podrá hacer operaciones como el propio cliente. Es decir, va a realizar pagos y envíos de dinero perteneciente a la víctima, que pueden ser difíciles o imposibles de recuperar.
Otro detalle sorprendente de esta estafa es que se mandan falsos SMS de confirmación de las operaciones, como haría el banco si fueran legítimas.
Estos SMS de confirmación pueden evitar que la víctima consulte con su banco tras la llamada, lo que reduce el riesgo de ser descubiertos. Si vivimos un caso así, hemos de contactar con el banco o entidad financiera lo antes posible, para intentar que se recuperen los fondos comprometidos.
El ataque es más elaborado y meticuloso que otros, porque se busca robar dinero real, que no deja de ser el objetivo último de casi cualquier phishing.
Varias de las recomendaciones para evitar ciberataques convencionales se debilitan ante estas técnicas que combinan SMS, llamadas y webs falsas, lo que requiere precauciones extra.
En esencia, no debemos facilitar ningún dato personal cuando los contacten, sea por llamada, mensajes, email o apps. Tras escuchar muy brevemente lo que les digan, corten la comunicación, y contacten por su cuenta (sin seguir los enlaces facilitados), para confirmar con la entidad si realmente la situación es real.
Por lo tanto, es importante para CESCA que estén alerta ante cualquier SMS o llamada de alguna entidad financiera o en nuestro caso de la Cooperativa, que puede ser un fraude y poner en peligro su dinero.
