Phising

[47ronin]

Detenidas 29 personas por suplantar el teléfono real de varios bancos y estafar más de 680.000 euros a 1.000 clientes


DANIEL SOMOLINOS
Madrid
Actualizado Sábado, 21 octubre 2023 - 00:15
Todas sus ganancias ilícitas eran blanqueadas a través de locutorios

Parte del dinero incautado por la Policía.
Parte del dinero incautado por la Policía.
P. N.


Cerrar Publicidad

La Policía Nacional ha desarticulado la célula española de una organización internacional dedicada a estafas bancarias masivas mediante vishing. O lo que es lo mismo, delincuentes llamando a clientes haciéndose pasar por trabajadores del propio banco. En total, 29 personas han sido detenidas por robar más de 680.000 euros a casi 1.000 usuarios, tal y como deslizó ayer viernes la Jefatura Superior de la Policía de Madrid.

El primer paso de estos malhechores era conseguir los datos de los clientes, algo que obtenían de bases informáticas. Más tarde, llegaban a suplantar el teléfono legítimo de atención al cliente de varias entidades bancarias españolas para que los clientes no sospecharan.


El resto, ya se imaginan. Con el pretexto de comprobar y solucionar unos presuntos accesos u operaciones no autorizadas en las cuentas de las víctimas, les pedían a éstas sus códigos o claves, con las que accedían a cajeros para extraer el dinero en efectivo. Por último, todas sus ganancias ilícitas eran blanqueadas a través de locutorios.


La investigación se inició el pasado año cuando los agentes tuvieron conocimiento de que usuarios de distintas entidades bancarias habían visto reflejados cargos fraudulentos tras haber recibido una llamada de un operador.

Más en El Mundo

El titular de Reyes Maroto sobre Bildu en EL MUNDO, gasolina para el PP y sorpresa en el PSOE: "Eso en Madrid no se puede decir"

Los testimonios revelan la desesperación de Álvaro Prieto por volver a Córdoba: desalojado del Sevilla-Barcelona cuando "el revisor había dado la hora de salida"
Tras varios meses de investigación se pudo identificar a la totalidad de los integrantes de esta organización, así como sus diferentes niveles de jerarquía y el rol que ejercía cada uno en esta banda. La operación continúa abierta, ya que no se descarta la aparición de más víctimas.

Además de las 29 detenciones, los agentes han realizado dos registros en la localidad de Móstoles. A todos los implicados se les imputan presuntos delitos de estafa, pertenencia a organización criminal y blanqueo de capitales.

[47ronin]

Condenan a tres bancos a devolver el importe robado a sus clientes víctimas de phishing


Los cinco métodos más usados por los ciberdelincuentes para acceder a tu cuenta bancaria
Por norma general los bancos siempre niegan su responsabilidad en estos casos
Carding
Alamy// Concepto de robo de datos bancarios
Miguel Terán Haughey
22/10/2023 - 11:00

Con las ciberestafas en auge, uno de los objetivos más deseados y repetidos por los ciberdelincuentes son los datos bancarios de sus víctimas para después cometer robos o compras fraudulentas usando tanto su nombre como información.


Ya sea mediante phishing o suplantación de identidad, estos criminales consiguen engañar y robar a sus víctimas, haciendo que los ataques a las cuentas bancarias sean una de las mayores preocupaciones para tanto los consumidores como para las propias entidades financieras.

Y es que este tipo de estafas son tan sofisticadas que ya hay numeroso casos en los que los ciberdelincuentes se han logrado infiltrar en los métodos de comunicación que usan los bancos como los canales de SMS y enviar mensajes que al provenir de la misma fuente que la entidad financiera, hace que el usuario pique y sin querer entregue sus datos.

Y claro, ante esta situación, son muchas las dudas que surgen, ya que si bien ha sido el cliente quien ha entregado esta información bancaria, tan solo lo ha hecho porque ha recibido el mensaje desde el mismo canal que es el oficial del banco y por lo tanto los ciberdelincuentes han superado las medidas de seguridad de este.

Las víctimas de todo esto son los clientes, que engañadas creyendo que es su banco quien contacta con ellos por un problema, pierden su dinero que luego las propias entidades se niegan a devolver ya que alegan que no tienen responsabilidad.

Pero tal y como señala GlobátiKa Lab, la empresa experta en peritos informáticos, esto no siempre tiene que ser así, y de hecho, ya ha habido tres casos en el que los bancos han sido condenados a devolver el importe robado a sus clientes víctimas de phishing.

El primero de los casos se trata de un caso de una víctima de Pontevedra a la que le robaron 3.000 euros, y denunció a la entidad por falta de eficiencia en el sistema de seguridad. En este caso, el tribunal falló a favor del usuario después de que el informe pericial revelara que la página de phishing tenía la apariencia de la página del banco, y la IP utilizada para la operación no coincidía con la del cliente.

Otro de los casos ocurrió en Lituania donde robaron más de 18.000 euros a un cliente mediante una estafa de SMS. Amparándose en la Ley de Servicios de Pagos, el cliente consiguió que le reembolsaran el dinero al defender que una sustracción de fondos a través de una orden de pago no debidamente autorizada, es el banco el responsable de reembolsar el dinero.

Por último, el caso más reciente de todos es el robo de 5.000 euros en Santander después de recibir un SMS fraudulento. En este caso, se logró demostrar que la víctima no había había incurrido en negligencia grave en la protección de sus credenciales de seguridad y la jueza destacó la dificultad para una persona no experta en detectar el fraude en un mensaje y enlace tan convincentes.

[47ronin]

La terrible historia del usuario de una entidad bancaria que ha sido estafado y cómo prevenir que se repita

Historia de Roberto Cantero  •

Conectarse a internet es sinónimo de información, entretenimiento y comunicación, pero también de posibles estafas online y de peligros que pueden llegar a través de correos electrónicos, llamadas o en virus a través de WhatsApp. La historia que te contamos a continuación le ha sucedido a un usuario particular y nos demuestra que cada vez podemos fiarnos menos de desconocidos que se encuentran al otro lado de nuestros terminales.

Una dolorosa estafa y una enseñanza de seguridad

La publicación que te mostramos bajo estas líneas es el inicio de una historia que no querrías que te hubiese sucedido a ti. Te la resumiremos a continuación, pero todo comienza con una llamada de un supuesto miembro de seguridad de una conocida entidad bancaria, que se suponía que estaba alertando al usuario de un acceso no autorizado en sus cuentas.

Entre los detalles que revelaba de sus cuentas y que afirmaba que su dinero estaba en peligro, el supuesto estafador la aseguró que podían solucionar el problema a través del teléfono o acudiendo a una oficina de la entidad bancaria. La desconfianza hizo saltar las alarmas. Preguntarse si quien llama era un trabajador real de la entidad o si el teléfono pertenecía a una sucursal fueron sus primeros pensamientos.Efectivamente, el número de teléfono correspondía con el que aparece listado en Google para una oficina de Madrid. Es en este punto donde las dudas se despejaron y el camino libre se abrió para el presunto estafador. Varias transferencias fueron realizadas, supuestamente a una cuenta segura, y en 25 minutos había perdido todo su dinero.

Cuando al día siguiente volvió a llamar al mismo número de teléfono, un trabajador de la sucursal respondió y le confirmó que había sido víctima de una estafa, aunque también le explicó que la entidad no se hacía responsable del dinero perdido. Esta noticia, a pesar de su terrible final, puede ser una enseñanza positiva para el resto de usuarios.De hecho, es una lección importante para quienes utilizan a diario servicios de banca, ya sea online, presenciales o telefónicos. Y podemos ofreceros algunas claves para evitar, en la mayor medida posible, que este tipo de estafas te dejen la cuenta a cero. Entre los pasos a seguir para evitar fraudes bancarios tenemos:

Acudir, en la medida de lo posible, a una oficina.
Utilizar la aplicación oficial de tu entidad bancaria, protegida con contraseña, desbloqueo por huella o desbloqueo facial si así lo permite la app.
Nunca dar datos personales ni información sobre tus cuentas por teléfono.
No pulsar enlaces que provengan de SMS, aplicaciones de mensajería o correos electrónicos.
En caso de duda, llamar al teléfono oficial de la entidad bancaria.

[47ronin]

No, no es el SEPE: el Sistema Nacional de Empleo alerta a los usuarios por esta estafa que está llegando por correo


Historia de Mónica Millán Valera •




El Servicio Público de Empleo Estatal (SEPE) ha sido víctima de una suplantación que está siendo utilizada para estafar a los usuarios. El propio organismo ha tenido que salir a advertir que los mensajes fraudulentos que están llegando al correo en su nombre son falsos.

Cómo es el falso aviso del SEPE

En el correo se usa como pretexto el envío de una notificación sobre un supuesto proceso laboral con el objetivo de que el usuario acceda al enlace facilitado. En el asunto detectado se incluye que es un aviso extrajudicial de la Justicia del Ministerio del Trabajo. Pero como advierten desde Incibe no existe tal ministerio, por lo que es la primera pista para saber que estás antes una estafa. Aunque no se descarta el uso de otros asuntos similares, como la variación de la fecha de actuación, el número del proceso o el correo del destinatario.

En el correo aparece el logotipo del Ministerio actual al que pertenece el SEPE para intentar darle veracidad a la notificación. Un detalle que puede hacer creer a muchos de que se trata de un aviso real.

La nueva alerta de estafa ha sido comunicada en primer lugar por el Instituto Nacional de Ciberseguridad (Incibe) que califica el engaño de alta importancia. Han detectado una campaña de distribución de malware en la que se hacen pasar por el SEPE a través de la conocida técnica de phishing. En los últimos años, este método suplantando la identidad de empresas y entidades de todo tipo se ha extendido con celeridad y se ha convertido en uno de los retos más importantes sobre la seguridad informática.

https://twitter.com/empleo_SEPE/status/1753444226287727079?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1753444226287727079%7Ctwgr%5E1c8e4447cb1144baee9eb29d8cfc8321bcd38a08%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.elconfidencial.com%2Fespana%2F2024-02-02%2Fno-es-sepe-sistema-empleo-alerta-estafa-correo_3823285%2F



Si haces clic en el enlace, te redireccionará a una web donde se descargará el presunto PDF, aunque en realidad será un archivo comprimido .zip. Según ha podido saber Incibe, los archivos adjuntos corresponden a un malware denominado Ousaban, un troyano bancario que pretende robar credenciales y otra información adicional de las instituciones financieras.

[47ronin]

Los ciberestafadores eluden a la Justicia porque operan desde otro país


PenalTech denuncia que los juzgados no están preparados para abordar estos delitos

Hackers.

CARLA STAVRAKY SARRA
14/04/24 | 0:00
| TIEMPO DE LECTURA: 7 MIN.
El engaño
Cometer crímenes en tu nombre
.
Un día, una persona recibe en su casa una denuncia. Le acusan de haber robado dinero de una cuenta bancaria y, según apunta la investigación, la sustracción se produjo desde su wifi. ¿Cómo puede esta persona probar su inocencia? ¿Y quién es el verdadero culpable?

Los ciberdelitos aumentaron un 25,5 % en 2023 con respecto al año anterior. Los últimos datos del Portal Estadístico de Criminalidad del Ministerio del Interior reflejan que los delitos patrimoniales como las estafas y los delitos sexuales en línea son los más frecuentes.

Una tendencia que ha quedado confirmada en los juzgados. El abogado Fran Peláez, socio director de PenalTech, asegura que en los últimos meses se han encontrado con muchos casos relacionados con varias modalidades de ciberestafas, como el phishing (el engaño a través de SMS, email o WhatsApp para hacerse con datos personales).

Absuelta de estafa tras demostrar que unos hackers suplantaron su dirección IP
El engaño
“El engaño es la principal herramienta de la que se valen los ciberestafadores”, apunta el letrado, y añade que tienen en cuenta los gustos y las necesidades de la gente . Por eso, cuenta que las estafas relacionadas con ofertas de trabajo o notificaciones de la Agencia Tributaria o del banco son las más efectivas.

¿Cómo defenderse de un timo por internet? Peláez lo tiene claro: sentido común. “Si no esperas ningún paquete, no le des clic a un mensaje que parece fraudulento. Si accedes a una web que se llama zara.con en vez de zara.com, no metas tus datos bancarios. Si ves que hay algo que es extremadamente barato, bueno y bonito, sospecha”, comenta.

Sin embargo, hay un tipo de ciberdelito que es difícil de evitar y al cual PenalTech se ha enfrentado muchas veces: el fraude de identidad.

Cometer crímenes en tu nombre
En esta modalidad hay tres personas involucradas: el estafador, la víctima y en medio se encuentra la persona a la que le acusan de cometer el delito.

Ese fue el caso de una chica, clienta del despacho de Peláez, a la que le hackearon el rúter para robar dinero de otra persona. Al rastrear la IP, la Policía se encontró con que la titular de esa conexión era esta chica y la acusaron de realizar actividades fraudulentas. Finalmente, los abogados lograron probar su inocencia al demostrar que el robo se produjo desde un teléfono Samsung y que ella no era titular de ningún móvil de esa marca.

Portales de compraventa de segunda mano
El letrado destaca que otra de las estafas más típicas son las que se producen en los portales de compraventa de segunda mano. En el marco de otro caso de suplantación de identidad, el despacho logró que absolvieran a un adolescente de 19 años que fue engañado en Wallapop al intentar comprar una videoconsola.

 
El joven se puso en contacto con el comprador, que resultó ser un estafador, y este le convenció de hacer un pago por adelantado y de intercambiarse sus carnets de identidad para generar confianza. La transacción del producto no se llegó a realizar y no supo nada más del tema hasta que, meses más tarde, le acusaron de estafar dinero mediante una cuenta bancaria que estaba a su nombre.

“Lo que ocurrió es que el estafador se abrió una cuenta bancaria a través de entidades que tienen cuentas online, como BBVA, Santander o Openbank, ya que solamente necesitan el DNI para abrirla”, explica Peláez.

Nuevas modalidades de ciberestafa
El letrado asegura que cada día surgen nuevas modalidades de ciberestafa. Además del engaño para obtener datos y el fraude de identidad, hay otra que se llama “man in the middle”.

En esta variante, el ciberestafador intercepta las comunicaciones entre dos personas, por ejemplo, un trabajador por cuenta ajena que emite una factura al que le ha contratado. El delincuente termina recibiendo los datos que le interesan para cometer su actividad fraudulenta y lo remite al contratante con los datos modificados para que no sospeche.

Un joven deberá pagar 1.000 euros por ‘robar’ exámenes del correo de su profesora
Operan desde otro país
“En la mayoría de los casos no es posible identificar al culpable, primero porque lo hacen muy bien, y segundo porque se encuentran en un país que España no tiene competencia para juzgarlos. ” afirma el socio director.

Además de ser muy habilidosos, el investigador español se encuentra limitado por el Código Penal que, en palabras del letrado, “está planteado para un espacio físico y para acciones que no son virtuales”.

Los ciberdelitos actúan en tiempos diferentes, pues generalmente se descubren una vez ya se ha producido, y se pueden realizar desde fuera de España.

“En general, en Europa no hay problema para la investigación y tenemos convenios de cooperación con algunos países de Latinoamérica”, matiza Peláez. En este sentido, apunta a China y Rusia, seguidos de Brasil y algunos países del continente africano como Senegal como los peores. “Ahí no importa que sepas los nombres y apellidos del criminal, es casi imposible pillarlos”, asegura.

Probar la inocencia
Por eso, despachos como PenalTech se han especializado en defender a personas que han sido acusadas de cometer delitos informáticos. “Contamos con herramientas muy buenas: ciberdetectives y peritos informáticos que son muy cualificados”, afirma.

Todo ello les ayuda a salir exitosos en la “inmensa” mayoría de los casos.

Los juzgados no están preparadas
Aun así, en muchas ocasiones se encuentran pegas de los propios juzgados. “Hablarles de una IP es hablar en chino. Y si le propones un medio de prueba técnico, como que se mande un oficio a una compañía de telefonía e internet para que se localicen las IP de conexión, a lo mejor te dicen sin fundamentos que 'no' porque no saben de lo que estás hablando”, revela el letrado.

“Ni la justicia, ni los funcionarios, ni los jueces están preparados para abordar estos delitos”, denuncia. Una situación que se extiende por todo el territorio español, según su experiencia, a excepción de algunos magistrados.

Peláez explica que, de todas maneras, al ser un despacho formado en el tema son capaces de “traducir” los tecnicismos y probar todos sus argumentos.