Con esta técnica el ciberdelincuente envía un enlace a la víctima haciéndose pasar por su entidad bancaria. Se suplanta la identidad de la víctima una vez acceda a la banca online con una web falsa y consigue los credenciales de acceso, pudiendo operar el autor de los hechos con su cuenta
El Equipo Lanzarote, en el marco de la investigación llevada a cabo por un presunto delito de estafa mediante pishing, el pasado 31 de Enero de 2022 a ocho personas de diferentes nacionalidades. A dos de ellas le constan antecedentes policiales por hechos similares. Son de edades comprendidas entre los 22 y los 74 años, con domicilios en diferentes puntos de la geografía Española, Francia, Alemania y Holanda. Se les acusa de un delito de estafa realizada por transferencia bancaria a través del método del Pishing, en el que los presuntos autores consiguen suplantar la identidad de la persona denunciante y así poder acceder a la banca online.
Inicio de la investigación
La Guardia Civil tuvo conocimiento de los hechos a raíz de la denuncia presentada en el Puesto Principal de Tías. La víctima comunicó que habían conseguido sus credenciales bancarios para acceder a su banca online. Se dio cuenta que sin conocimiento de ella realizaron diversas transferencias a cuentas situadas en el territorio nacional y al extranjero de importantes cantidades de dinero. Además sacaron dos créditos personales por valor de 10.000 euros, siendo el total detraído del patrimonio de la víctima un importe de 46.342 euros.
Pesquisas e indagaciones recabadas
Por ello, los componentes del Equipo de Lanzarote, dentro de las labores encomendadas en la lucha contra las estafas en internet, realizaron las pesquisas policiales oportunas en la que pudieron identificar a los autores del hecho. Entre las gestiones practicadas, se procedió a realizar un seguimiento del capital detraído que tuvo como destino final las cuentas bancarias de las personas identificadas, siendo este tipo de hechos, una de las estafas más comunes realizadas por los ciberdelincuentes.
Modus operandi
En este tipo de ataques, los ciberdelincuentes realizan envíos de SMS y/o correos electrónicos a sus víctimas haciéndose pasar por su entidad bancaria. En el mensaje ponen la excusa de alguna gestión o problema a solucionar, consiguiendo que la víctima abra la dirección URL del link que le proporcionan. De esta forma acceden a una web que simula ser la de su entidad bancaria, momento en el cual la víctima pone sus credenciales para acceder a la misma y el ciberdelincuente se apodera de las mismas.
Consejos de seguridad. ¿Qué es el Pishing?
- Acceden ilegalmente a tu cuenta. Los ciberdelincuentes acceden a los dispositivos o sistemas de las víctimas mediante piratería, sitios webs de phishing o software malicioso y posteriormente engañar a la víctima para que realice una transferencia de dinero a su cuenta bancaria.
- Utilizan la información social publicada en redes. Los delincuentes eligen a sus víctimas basándose en la información que estos comparten en las plataformas de redes sociales.
- Se basan en solicitudes urgentes. El delincuente se hace pasar por un proveedor solicitando un pago urgente o el cambio de la información bancaria, o haciéndose pasar por un empleado de alto nivel en la empresa con autoridad para realizar pagos.
Proteger los sistemas corporativos frente a tentativas de pirateo
- UTILICEN antivirus, cortafuegos y otras herramientas, y realicen análisis frecuentes de ordenadores y dispositivos para evitar las infecciones de códigos maliciosos.
- MANTENGAN actualizados sus ordenadores personales y empresariales: presten atención a las alertas de seguridad, actualicen los parches de seguridad, efectúen periódicamente verificaciones del sistema.
- ASEGÚRENSE de que sus cuentas de correo electrónico están bien protegidas y no comuniquen la contraseña.
- NO PINCHEN en archivos adjuntos que no estén esperando, incluso si tienen nombres que suenan inofensivos (por ejemplo, factura). A menudo contienen códigos maliciosos que dan acceso al control de sus correos electrónico y a las actividades de sus ordenadores.
- ACTIVEN el filtro de correo SPAM y bloqueen el acceso a sitios web sospechosos o que figuran en listas negras.
Cuidado con las solicitudes o cambios de pagos “urgentes” sospechosos
- MIREN atentamente la dirección de correo electrónico del emisor. Los delincuentes crean a menudo una cuenta con una dirección de correo electrónico muy similar a la de sus compañeros de trabajo, por ejemplo en un dominio guardiacivil.org se puede utilizar guardacivil.org
- Si reciben un correo electrónico relativo a un cambio de método de pago o de cuenta bancaria, PÓNGANSE en contacto con el receptor del pago mediante otro conducto (teléfono) para confirmar esta demanda. NO contesten directamente al correo electrónico.
- VERIFIQUEN la autenticidad de los sitios web antes de facilitar cualquier información personal o confidencial.
Eviten convertirse en un objetivo
- NO PUBLIQUEN información confidencial o personal en medios sociales. Puede ser utilizada por los estafadores para actuar en su contra.
- DESTRUIR todos los documentos confidenciales y elimínenlos adecuadamente.
- UTILICEN contraseñas distintas para cada cuenta, cámbienlas periódicamente y, en la medida de lo posible, activen la autenticación de dos factores en todas sus cuentas.
- UTILICEN contraseñas seguras que incluyan cifras, símbolos y letras mayúsculas y minúsculas.