- En la isla de Gran Canaria se han recibido hasta el momento 45 denuncias que alcanzan los 35.000 euros defraudados
- Se inicia por un SMS o mensaje de texto alertando de un cargo no autorizado que deriva a una página web suplantando a la entidad bancaria con el objetivo de robar las claves de acceso
La Guardia Civil de Las Palmas ha detectado un incremento de estafas dirigidas a clientes de entidades bancarias, en la que contactan con los afectados mediante la técnica de SMS conocida como “smishing” y posterior llamada telefónica haciéndose pasar por un gestor bancario con el objetivo de conseguir las claves y autorizaciones que la banca remite por SMS a la víctima para la retirada del efectivo móvil.
La investigación se inició por el Equipo @ de la Comandancia de Las Palmas a raíz de la primera denuncia el pasado 03 de abril, sin embargo hasta el momento ya se han contabilizado un total de 34 denuncias con el mismo método de engaño y llegando el importe defraudado a los 19.500 euros.
Procedimiento inicio de la estafa (phishing)
Esta técnica de engaño se inicia mediante la recepción de un SMS o mensaje de texto en el que se hacen pasar por la entidad bancaria del perjudicado, en este mensaje alertan de una retirada de efectivo de 300 euros o de un acceso (login) no autorizado a sus cuentas, indicando que si no son ellos procedan a pinchar en un enlace que abre una página web idéntica a la utilizada en la banca on-line de la entidad bancaria.
Esta página web está creada para robar nuestras claves y presenta la misma apariencia que la original del banco, en la que solicitan las claves de acceso, por lo que una vez introducidos ya los ciberdelincuentes cuentan con nuestras claves de usuario y contraseña.
Una vez tienen la información de acceso a banca on-line, los ciberdelincuentes acceden a todos nuestros datos y productos contratados (el estado de las cuentas, nombre y apellidos del titular, nombre del gestor bancario, etc…) y con toda esa información en su poder, el siguiente paso consiste en realizar una llamada telefónica a la víctima (VISHING).
En esta llamada telefónica a la víctima, los estafadores se hacen pasar por la entidad bancaria, e informan a la víctima que le están intentando realizar un cargo no autorizado y que para poder cancelar dicho cargo le llegaran unos mensajes de texto con códigos que en realidad son para autorizar las operaciones, y que tienen que ir facilitando al gestor para su cancelación.
Al obtener dicho código proceden al envío de dinero a través de Halcash o efectivo móvil, funcionando de la siguiente manera:
- Efectivo móvil o Halcash: se envía un SMS al beneficiario, el cual es la propia víctima, ya que aparece su número de teléfono y el importe a retirar junto con el código de retirada, el cual se le facilita al “supuesto empleado del banco”, indicándole que es para la cancelación.
- El ciberdelincuente sólo tiene que proceder a introducir el código en el cajero, el cual le dispensará los 300 euros en efectivo.
A su vez, pueden acceder desde el cajero a la operativa con las claves de acceso a la banca online en dónde le vuelven a retirar otros 200 euros, siendo normalmente la cantidad retirada final de 500 euros.
Recomendaciones de seguridad
- Nunca picar en enlaces a sitios web que vengan a través de SMS, suelen ser muy similares a los de la propia entidad induciendo a error.
- Nunca dar datos personales, numeración de tarjetas ni códigos por teléfono, el banco nunca lo solicitará de esa manera.
- Las entidades bancarias NUNCA llamaran para cancelar cargos o accesos no deseados al área de clientes.
- Leer detenidamente los mensajes, aunque se esté hablando por teléfono.
- Desconfiar de cualquier gestión digital que se salga de la operativa normal del usuario.