Cómo suplantan a tu banco en llamadas y SMS para estafarte

Llevamos unas semanas en las que hay activas por España varias campañas de phishing muy efectivas.

El modus operandi de estos cibercriminales es el siguiente:

1. Te llaman o te envían un SMS haciéndose pasar por tu banco.
2. Demuestran «supuestamente» que son agentes del banco ya que saben tus datos personales (nombre y apellidos, documento de identidad…).
3. Una vez convencida la víctima, y por alguna de las típicas excusas de este tipo de timos (queremos arreglar un cargo fraudulento que te han hecho a tu cuenta bancaria y que aún no está reflejado) te piden que les devuelvas el código que te acaban de enviar.

Por supuesto, si lo haces, ya te habrán robado el dinero, ya que realmente ese cargo fraudulento es el que estás tú ahora mismo confirmando (con la entrega de ese código que rápidamente el cibercriminal usará para confirmar la transferencia) que permites hacer.

Como decía, ni el gancho ni la forma de actuar es nueva.

Lo que sí puede llamar la atención es que:

• Tengan tanta información veraz tuya.
• El número desde el que te llaman o mandan el SMS aparece marcado como, en efecto, el oficial de la compañía a la que están usurpando la identidad.

Vamos a ver por separado cómo consiguen esto.

¿Cómo han obtenido nuestros datos los cibercriminales?

Esta es la más fácil de responder.

Básicamente, el ataque ya empezó hace unas semanas o meses, y mediante el filtrado de datos obtenidos fraudulentamente de nuestro banco.

Los cibercriminales simplemente recopilan esta información, que a veces está expuesta públicamente en documentos de internet, y la aprovechan para aumentar la tasa de éxito de la campaña de fraude.

A fin de cuentas, no es lo mismo que te llamen de un banco que no es el tuyo, a que lo haga alguien que sabe todos tus datos y que además, supuestamente, pertenece al banco donde tienes tu dinero.

¿Cómo usurpan la identidad del teléfono desde el que llaman o envían SMS?

Esto sin lugar a dudas puede ser lo más llamativo del ataque.

Llegan hasta el punto de que si tenías mensajes anteriores enviados por el banco, puede que en tu aplicación de SMS el mensaje fraudulento te aparezca en el mismo hilo que los oficiales.

¿Por qué ocurre esto?

Pues porque a ojos de sistema de identificación de llamadas, en efecto, quien envía ese mensaje es el número original del banco o la empresa a la que usurpan la identidad.

¿Y cómo es esto posible?

Pues exactamente igual que cualquier otro ataque de usurpación técnica de identidad, como puede ser el email spoofing.

Con la democratización de las llamadas VoIP, no es muy difícil encontrar operadores que ofrecen el servicio y que no tienen reparos en ofrecernos números de teléfono que ya están siendo utilizados en el mercado.

Para ellos, es cuestión de modificar las cabeceras para aparentar que desde ese número VoIP se llama en nombre de otro «tradicional». Algo que antiguamente solo podían hacer agentes de las fuerzas del orden (y también agencias de inteligencia…), pero que hoy en día ya está al acceso de prácticamente cualquiera que esté dispuesto a pagar por el servicio.

Unes este hecho, al que para colmo los comerciales saben todos tus datos, y tienes como conclusión una serie de campañas de phishing que están teniendo, lamentablemente, mucho éxito.

Por supuesto, para reconocerlas, bastaría con darse cuenta que NINGÚN AGENTE DE BANCO TE PEDIRÁ QUE LE ENVÍES EL CÓDIGO DE CONFIRMACIÓN QUE TE ACABA DE ENVIAR.

Pero claro…

Servicio de asesoramiento a víctimas de fraude

Desde CyberBrainers ofrecemos un servicio de asesoramiento a víctimas de cualquier tipo de fraude cibernético.

Gracias a él, revisamos cada caso por separado, te explicamos qué opciones tienes, y te ofrecemos soporte en aquello que necesites (ayuda legal, asesoramiento técnico para evitar problemas futuros…).

Además, si hay posibilidad de recuperar el dinero robado, te ayudamos con la recuperación.

Si has sido víctima de alguno de estos timos, ponte en contacto con nosotros y revisaremos el caso.

¡Me han estafado! Necesito ayuda

Otros timos que deberías conocer

• 3 elementos que delatan a las campañas de phishing o fraude por email
• ¿Qué hacer en caso de haber sido víctima de un fraude?
• ¿Como recuperar el dinero robado?
• Cómo nos protegemos de los fraudes en Internet
• El día que ligué con una capitana del US Army (fraude de la novia rusa)
• Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
• Cómo estafaron a mi pareja con un producto vendido en Instagram
• Cómo funcionan los fraudes de descargar libros o películas GRATIS
• Cómo estafaron a mi madre con un producto vendido por Wallapop
• Cómo funciona la estafa del pellet
• Cómo funciona el fraude que se hace pasar por un aviso de la DEHÚ
• Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
• Qué tipos de fraude por Wallapop existen
• Cómo me intentaron estafar con el alquiler de un piso
• Cómo funcionan los fraudes por Facebook
• Cómo funciona el timo de la compra de fotos o arte NFT
• Cómo me estafaron 400 euros con un producto vendido en Amazon
• Cómo funcionan los fraudes basados en iCloud
• Cómo funciona la estafa del chulo y las prostitutas
• Cómo funciona el fraude de BlaBlaCar
• Cómo funciona el fraude del viejo contacto
• Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
• Cómo funcionan los fraudes dirigidos a creadores de contenido
• El papel de los muleros en el cibercrimen
• Así de fácil es caer en una campaña de phishing
• Cómo saber si ese producto de Apple que estás comprando es verdadero o falso

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.