• miércoles 28 de septiembre del 2022

Policía Nacional alarma de un nuevo repunte de estafas a través de 'smishing' y 'vishing'

img

LOGROÑO, 22 Sep.

La Jefatura Superior de Policía Nacional en La Rioja a través del Grupo de Delitos Tecnológicos ha alertado a los ciudadanos de un repunte de estafas mediante la modalidad 'smishing' y 'vishing', esto es, phishing por medio de SMS o llamadas telefónicas.

El 'smishing' es una técnica consistente en el envío de un SMS por la parte de un ciberdelincuente a un usuario simulando ser una entidad lícita -comunidad, banco, institución pública, por ejemplo- con la meta de hurtarle información privada o efectuarle un cargo económico. Generalmente el mensaje invita a llamar a un número de tarificación particular o entrar a un link de una página falsa bajo un motivo.

Mientras que el 'vishing' es un género de estafa de ingeniería popular por teléfono donde, mediante una llamada, se suplanta la identidad de una compañía, organización o persona de seguridad, con el objetivo de conseguir información personal y sensible de la víctima.
'modus operandi'

En las últimas semanas se detectaron 2 formas de 'modus operandi'. El primer tipo radica en que el cliente recibe un SMS en teoría enviado por su entidad bancaria o una compañía de paquetería, comunicándole que se están generando movimientos extraños en su cuenta corriente o que han intentado entrar a su cuenta.

En ciertos casos, en tal correo les remiten a un link que en teoría dirige nuevamente a la web del banco, para seguir a cambiar las claves de ingreso, y minutos después recibe una llamada telefónica, haciéndose pasar por su entidad bancaria donde le solicitan las claves de ingreso a su banca 'online', para seguir a anular sus tarjetas bancarias.

Posteriormente, el cliente ingresa a el sitio web del banco desde su navegador, apareciéndole un cuadro nuevo en el que le vuelven a soliciar las claves de ingreso a la banca 'en línea'.

De forma simultánea reciben un SMS con claves que debe ingresar, tratándose y también situación de la clave de confirmación de una operación fraudulenta.

Así a través de la obtención de estos datos sensibles, se hacen con el control de sus cuentas corrientes y se apoderan de esenciales proporciones de dinero, haciendo muchas veces cargos con tarjeta y transacciones bancarias.


EMPRESA DE PAQUETERÍA

Otra de las costumbres radica en la suplantación a una compañía de paquetería. Concretamente, el ciberataque se efectúa por medio de un mensaje de artículo corto, un SMS, que la víctima recibe en su dispositivo, siendo la petición de un pago o llenar la dirección de distribución para recibir un bulto los temas mucho más empleados.
Esta leyenda incluye un link para disponer una app apk con fachada de ser la oficial de la entidad.

Una vez que la víctima admite la descarga, aparte de la citada apk simulada se instalará, de forma subrepticia, un programa de ingreso recóndito que, en primera instancia, pedirá los privilegios para recibir, leer y cambiar SMS.

Así la estafa donde la última semana se ha recibido múltiples demandas, radica en el envío masivo de mensajes SMS falsos en los que se advierte a las probables víctimas de la inutilización de su cuenta corriente, un ingreso indebido o algún otro motivo acompañado de un link.

El contenido de los SMS es el próximo: "Desde (fecha) no va a poder emplear su cuenta. Tiene que contrastarse en el sistema desde el próximo link..."; "Un aparato no autorizado está conectado a su cuenta en línea. Si no lo reconoce, compruebe en el próximo link"; "Su cuenta o tarjeta bancaria quedó por un tiempo bloqueadas; "desde cierto día, no va a poder utilizar su cuenta corriente por algún género de actualización"; No puede utilizar la cuenta por la puesta en marcha de algún nuevo género de sistema de seguridad o últimamente".

Si los clientes del servicio han accedido al link y también introducido las credenciales de ingreso que pide la presunta entidad bancaria, tienen que contactar a la mayor brevedad con su entidad bancaria para denegar las operaciones, cambiando cuanto antes la contraseña de ingreso a la banca en línea.

Además, se aconseja cambiar la contraseña de todos esos servicios en los que se utilice exactamente la misma.

Siempre tienen dentro un "backlink" que derivará a una página falsificada

En todos y cada uno de los casos el artículo da "arreglar" el inconveniente ficcional clickando en un link tipo "backlink", una línea subrayada y en azul en exactamente el mismo artículo en el que, con solo apretar con el ratón o en ella en la pantalla táctil del móvil inteligente, nos dirige nuevamente de forma automática a una página.

Esta página de Internet a la que nos mande va a ser siempre y en todo momento una página falsa, muy afín a la de tu banco para hallar engañarte.

Los bancos jamás te redirigirán a una página para comenzar sesión y desbloquear una tarjeta, ni te piden por esta vía que des tus credenciales de usuario o el PIN de tu tarjeta.

Por ello, aconsejan saber las webs lícitas, reconocidas y oficiales de su entidad bancaria. Los ciudadanos se tienen la posibilidad de fijar y revisar el dominio de la web en donde entran, ubicado en la barra superior del buscador web, y revisar si se ajusta a la oficial o hablamos de otra dirección web, con iniciaciones o terminaciones incorrectas o fuera de sitio.

Los datos que tienden a ser pedidos son: número de cuenta corriente, nombre, apellidos y DNI, claves de entrada a la banca on-line (usuario y contraseña), numeración, fecha de caducidad y código de seguridad CVV de las tarjetas de crédito o débito.

Desde la Policía Nacional se aconseja tomar las próximas medidas para eludir este género de estafas. En primer sitio, jamás entrar desde links recibidos en correos o SMS, puesto que acostumbran a suplantar y emular la página oficial, y entrar siempre y en todo momento escribiendo en nuestro navegador la dirección bancaria o la compañía de paquetería.

No confiarse del supuesto origen de un mensaje o de una llamada, los ciberdelincuentes emplean métodos para hacerse pasar por otra gente o compañías.

No dejarse llevar por la urgencia que transmite el mensaje recibido o la llamada, colgando la comunicación si es necesario, para contrastar la información por otros medios seleccionados y también iniciados por nosotros, o por personas de seguridad de nuestro ambiente, o tras recibir consejos de entidades oficiales como la Policía Nacional (Tfno: 091) o el Instituto Nacional de Ciberseguridad (Tfno: 017).

Asimismo, han sugerido jamás disponer apps en el móvil inteligente recibidas por SMS y actualizar el S.O. y los programas, aparte de tener un antivirus actualizado, un cortafuegos y un antiespía. Además, de contactar telefónico con la entidad bancaria o compañía en el teléfono oficial, no desde el número desde el que se ha recibido la llamada.

Ninguna entidad bancaria solicitará jamás a su clientes del servicio datos sensibles como claves o claves de acceso ) por teléfono, mail, SMS, ni por algún otro medio.

Más información

Policía Nacional alarma de un nuevo repunte de estafas a través de 'smishing' y 'vishing'