Agentes de la Policía Nacional de España han desarticulado una organización criminal que estafó a 146 víctimas en todo el territorio nacional mediante técnicas de Phishing.
Según el comunicado de la Policía Nacional de España, la cantidad defraudada asciende a 443.600 euros, y fue obtenida a través de la estafa de 146 víctimas. La operación, desarrollada en varias fases entre enero de 2019 y abril del presente año, ha finalizado con la detención de 13 personas -y otras 7 investigadas no detenidas- en A Coruña, Córdoba (5), Huelva, Madrid (2), Málaga, Murcia, Palma de Mallorca y Terrassa (Barcelona).
Los investigados suplantaban la identidad de una conocida entidad bancaria y obtenían las credenciales de sus víctimas mediante phishing para, posteriormente, realizar compras online, transferencias o pedir préstamos personales no autorizados. Por otra parte, el lucro económico era diseminado a través de cuentas bancarias de “mulas de dinero” captadas a través de páginas de contactos sentimentales (es decir, web de citas).
Según la Policía Nacional, las primeras investigaciones se iniciaron a finales de 2018 cuando los agentes detectaron numerosas denuncias en todo el territorio nacional –realizadas tanto por particulares, como por una entidad bancaria- de operaciones fraudulentas a través de compras en comercios electrónicos, así como de transferencias bancarias y petición de créditos personales no autorizados.
Enviaban correos electrónicos con una falsa alerta de seguridad para robar las claves bancarias
La Policía Nacional advierte que los investigados utilizaban la imagen corporativa de una entidad bancaria y enviaban de forma masiva correos electrónicos falsos en su nombre, suplantando su identidad. Las víctimas que recibían dicho correo, conteniendo un aviso sobre una supuesta “alerta de seguridad” que afectaba a sus tarjetas y cuentas bancarias, pinchaban sobre el enlace o link que les facilitaban e introducían sus credenciales de banca online para solucionarlo.
Sin embargo, los emails no habían sido remitidos por el banco y los links redirigían a páginas web falsas controladas por miembros de la organización. Además, los correos “cebo” eran modificados y actualizados convenientemente en función de las variantes que, sobre la operativa online, establecía la entidad bancaria afectada.
Después de tener acceso a las credenciales obtenidas, los detenidos accedían a la banca online de las víctimas y cambiaban el número de móvil registrado por el cliente legítimo por otro número controlado por ellos. De esta forma, los estafadores podían completar las compras o transferencias, superando el factor de verificación de seguridad establecido por la entidad.
Asimismo, este modus operandi les permitía acceder a los datos bancarios de las víctimas, y recibir las Claves de Comercio Electrónico Seguro (CES) necesarias para finalizar operaciones, en la línea telefónica controlada por los miembros de la organización.
Realizaban las compras fraudulentas a través de comercios electrónicos ubicados en países extranjeros
Así, los investigados accedían a las cuentas de las víctimas haciendo uso de líneas de Internet ubicadas en distintos países como España, Marruecos, Francia, EEUU, Mauritania y Alemania, utilizando redes virtuales privadas (VPN), con el objetivo de obstaculizar la localización exacta desde donde se ejecutaban las operaciones fraudulentas y se remitían los correos SPAM. Además, realizaban las compras a través de comercios electrónicos ubicados en países extranjeros, siendo Francia la localización más repetida.
La complejidad de la investigación radica en que se trata de un delito trasfronterizo, donde las víctimas cuyos datos bancarios han sido comprometidos así como las entidades bancarias afectadas son de un país –en este caso España-, el comercio online que sufre el fraude es otro diferente, y el producto o servicio adquirido fraudulentamente se consume o entrega en un tercer país.
El lucro económico era diseminado a través de cuentas bancarias de las denominadas “mulas de dinero”, captadas en páginas de contactos sentimentales. Estas personas, engañadas por una supuesta pareja sentimental y siguiendo instrucciones de la organización, enviaban dinero a través de empresas money-transfer a Costa de Marfil, lo que permitía burlar los controles que establece la ley.
¿Cómo protegerte del Phishing bancario?
Nadie está a salvo de los ataques de Phishing, especialmente del Phishing bancario. Desde ciudadanos, a profesionales pasando por empresas de todos los tamaños e instituciones públicas están cayendo reiteradamente en la trampa.
El Phishing es muy popular entre los cibercriminales porque va directamente dirigido a la parte más vulnerable de cualquier red, al eslabón más débil de cualquier sistema de seguridad: los usuarios.
El Phishing bancario está siendo cada vez más utilizado por facilitar el acceso de organizaciones criminales a ingentes recursos económicos de particulares y empresas. Estos utilizan correos electrónicos fraudulentos que engañan a los destinatarios para que compartan su información personal, financiera o de seguridad.
El Phishing bancario por email cumple siempre las siguientes características:
- Los emails pueden parecer idénticos al tipo de correspondencia que envían los bancos reales.
- Copian los logotipos, el diseño y el estilo de los emails reales.
- Usan un lenguaje que transmite un sentido de importancia y urgencia.
- Te piden que descargues un documento adjunto o hagas clic en el enlace.
Es importante interiorizar los siguientes consejos para aplicarlos de forma permanente, ya estemos delante del ordenador, de la tablet o del smartphone:
- Mantén tus aplicaciones actualizadas (navegador, antivirus y sistema operativo)
- Sospecha si un email de tu banco te solicita información confidencial.
- Revisa el correo con cuidado: compara el remitente del email con el remitente habitual de tu banco. Si hay diferencias o errores, desconfía.
- No respondas nunca a un email sospechoso, les facilitarás información que pueden utilizar contra ti.
- Reenvía el email sospechoso a tu banco escribiendo tú la dirección real o llámales para verificar la autenticidad.
- No reenvíes el correo a personas de tu entorno, viniendo de ti, podrían confiar en él y caer en la trampa.
- No hagas clic en el enlace ni descargues el archivo adjunto.