La Jefatura Superior de Policía Nacional en La Rioja a través del Grupo de Delitos Tecnológicos ha alertado a los ciudadanos de un repunte de estafas a través de la modalidad 'smishing' y 'vishing', es decir, phishing a través de SMS o llamadas telefónicas.
El 'smishing' es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, entre otras- con el objetivo de robarle información privada o realizarle un cargo económico. Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto.
Mientras que el 'vishing' es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima.
En las últimas semanas se han detectado dos modalidades de 'modus operandi'. El primer tipo consiste en que el cliente recibe un SMS supuestamente enviado por su entidad bancaria o una empresa de paquetería, comunicándole que se están produciendo movimientos extraños en su cuenta bancaria o que han intentado acceder a su cuenta.
En algunos casos, en dicho correo les remiten a un enlace que supuestamente redirige a la página web del banco, para proceder a modificar las claves de acceso, y minutos más tarde recibe una llamada telefónica, haciéndose pasar por su entidad bancaria en la que le piden las claves de acceso a su banca 'on line', para proceder a cancelar sus tarjetas bancarias.
Posteriormente, el cliente accede a la página web del banco desde su navegador, apareciéndole un cuadro emergente en el que le vuelven a pedir las claves de acceso a la banca 'on line'. De forma simultánea reciben un SMS con claves que debe introducir, tratándose e realidad de la clave de confirmación de una operación fraudulenta.
Así mediante la obtención de estos datos sensibles, se hacen con el control de sus cuentas bancarias y se apoderan de importantes cantidades de dinero, realizando frecuentemente cargos con tarjeta y transferencias bancarias.
Empresa de paquetería
Otra de las modalidades consiste en la suplantación a una empresa de paquetería. Concretamente, el ciberataque se realiza a través de un mensaje de texto corto, un SMS, que la víctima recibe en su dispositivo, siendo la solicitud de un pago o completar la dirección de entrega para recibir un paquete los temas más utilizados.
Este mensaje incluye un enlace para instalar una aplicación apk con apariencia de ser la oficial de la entidad.
Una vez que la víctima acepta la descarga, además de la mencionada apk simulada se instalará, de manera subrepticia, un software de acceso remoto que, en primera instancia, solicitará los permisos para recibir, leer y modificar SMS.
Mensajes SMS falsos
Así la estafa en la que la última semana se ha recibido varias denuncias, consiste en el envío masivo de mensajes SMS falsos en los que se advierte a las posibles víctimas de la inutilización de su cuenta bancaria, un acceso indebido o cualquier otro pretexto acompañado de un enlace. El contenido de los SMS es el siguiente: “A partir de (fecha) no podrá utilizar su cuenta. Tiene que verificarse en el sistema desde el siguiente enlace...”; “Un equipo no autorizado está conectado a su cuenta online. Si no lo reconoce, verifique en el siguiente enlace”; “Su cuenta o tarjeta bancaria ha quedado temporalmente bloqueadas; ”a partir de cierto día, no podrá usar su cuenta bancaria por algún tipo de actualización“; No puede usar la cuenta por la puesta en marcha de algún nuevo tipo de sistema de seguridad o recientemente”.
Cambio de contraseña
Si los clientes han accedido al enlace e introducido las credenciales de acceso que solicita la supuesta entidad bancaria, deben ponerse en contacto lo antes posible con su entidad bancaria para bloquear las operaciones, modificando lo antes posible la contraseña de acceso a la banca online. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.
Siempre incluyen un “link”
En todos los casos el texto ofrece “solucionar” el problema ficticio clickando en un enlace tipo “link”, una línea subrayada y en azul en el mismo texto en el que, con tan solo pulsar con el ratón o en ella en la pantalla táctil del móvil, nos redirige automáticamente a una página web.
Esta página de Internet a la que nos envíe será siempre una web falsa, muy similar a la de tu banco para conseguir engañarte.
Los bancos nunca te redirigirán a una página web para iniciar sesión y desbloquear una tarjeta, ni te solicitan por esta vía que proporciones tus credenciales de usuario o el PIN de tu tarjeta.
Por ello, recomiendan conocer las páginas web legítimas, reconocidas y oficiales de su entidad bancaria. Los ciudadanos se pueden fijar y comprobar el dominio de la página web en donde entran, situado en la barra superior del buscador web, y comprobar si se ajusta a la oficial o se trata de otra dirección web, con iniciaciones o terminaciones indebidas o fuera de lugar.
Los datos que suelen ser solicitados son: número de cuenta bancaria, nombre, apellidos y DNI, claves de entrada a la banca on-line (usuario y contraseña), numeración, fecha de caducidad y código de seguridad CVV de las tarjetas de crédito o débito.
Medidas De Seguridad
Desde la Policía Nacional se recomienda tomar las siguientes medidas para evitar este tipo de estafas. En primer lugar, nunca acceder desde enlaces recibidos en correos o SMS, ya que suelen suplantar y simular la página oficial, y acceder siempre escribiendo en el propio navegador la dirección bancaria o la empresa de paquetería.
No fiarse del supuesto origen de un mensaje o de una llamada, los ciberdelincuentes emplean métodos para hacerse pasar por otras personas o empresas.
No dejarse llevar por la urgencia que transmite el mensaje recibido o la llamada, colgando la comunicación si es preciso, para contrastar la información por otros medios escogidos e iniciados por nosotros, o por personas de confianza de nuestro entorno, o tras recibir asesoramiento de entidades oficiales como la Policía Nacional (Tfno: 091) o el Instituto Nacional de Ciberseguridad (Tfno: 017).
Asimismo, han recomendado nunca instalar aplicaciones en el móvil recibidas por SMS y actualizar el sistema operativo y los programas, además de tener un antivirus actualizado, un cortafuegos y un antiespía. Además, de ponerse en contacto telefónico con la entidad bancaria o empresa en el teléfono oficial, no desde el número desde el que se ha recibido la llamada.
Ninguna entidad bancaria pedirá nunca a su clientes datos sensibles como claves o contraseñas ) por teléfono, correo electrónico, SMS, ni por cualquier otro medio.