Roban 47.000 euros a una mujer de Granada con una llamada de teléfono y un programa informático

La Policía Nacional está investigando la denuncia de una granadina por haber sido víctima de un ataque de ‘phising’ mediante una llamada de teléfono y la descarga de un programa informático, y por el que ha sufrido una pérdida patrimonial superior a los 47.000 euros en forma de transferencias y transacciones bancarias no autorizadas.

El cuerpo policial relata en una nota de prensa que todo comenzó cuando la víctima recibió una llamada a su teléfono fijo desde un número con prefijo extranjero. Al otro lado del aparato se encontraba una mujer que hablaba en inglés y que se identificó como la empleada de una de las más importantes compañías de software a nivel mundial, cuyos productos se encuentran habitualmente en cualquier ordenador personal, facilitando una dirección también extranjera y una serie de correos electrónicos de carácter corporativo para dar mayor credibilidad a su papel.

La finalidad de la llamada tenía como objeto proporcionar un supuesto servicio de soporte técnico al haber detectado la compañía que la licencia informática asociada al ordenador de su propiedad estaba siendo usada por un hacker ruso. Seguidamente, solicitaron de ella que encendiera su ordenador y que se descargara un programa informático para poder mostrarle, a través de un servidor seguro, como su licencia había sido cancelada por el uso indebido del mencionado hacker. Una vez descargado el programa y puesto en funcionamiento, le mostraron a través del mismo las diferentes direcciones IP que se habían usado y su procedencia rusa. Tras la supuesta reparación, la falsa empleada le solicitó que hiciera un pago de tan sólo cinco euros usando su tarjeta de crédito en concepto de soporte técnico, a lo cual la víctima accedió convencida de la veracidad de lo expuesto.

Tan sólo unos días más tarde, al comprobar el estado de su cuenta bancaria, pudo comprobar que se habían realizado numerosas transferenciasy transacciones de capital no autorizadas por cuantías que oscilaban entre poco más de 500 euros hasta prácticamente los 3.000, acumulando en total una cifra superior a los 47.000 euros, procediendo inmediatamente al bloqueo de la cuenta y las tarjetas y a interponer denuncia por estos hechos.

Protección ante el ciberdelito de ‘phising’

El ‘phising’ es un ciberdelito consistente en la apropiación fraudulenta de todo tipo de datos personales. Los ciberdelincuentes tienen predilección por conseguir los datos de las tarjetas de crédito o bien las claves y pines de las cuentas bancarias, ya que se sirven de estos para realizar transacciones y compras no autorizadas por el legítimo titular en beneficio de los hackers.

La Policía Nacional subraya que aunque lo más habitual es que esta información se consiga a través de un correo malicioso, existen otras modalidades en las que se emplea un teléfono o incluso un mensaje SMS. Así pues, expone que prevenir este tipo de ciberdelitos es fácil si se siguen unas normas básicas, de las que destaca en primer lugar desconfiar de correos electrónicos que intentan alarmarle y le instan a realizar acciones de forma inmediata bajo la amenaza de algún problema, especialmente si le solicitan claves, contraseñas u otros datos personales.

Se sugiere no abrir correos de destinatarios desconocidos y prestar mucha atención a aquellos que presentan una apariencia genuina provenientes de bancos u otras instituciones que le solicitan una información que ya tienen en su poder; tener especial cuidado con llamadas procedentes del extranjero o números «raros», especialmente si le hablan en un idioma distinto; descargar programas informáticos o archivos sugeridos por personas desconocidas a través del teléfono, correo o SMS; y, en general, no facilitar datos personales suyos o de sus allegados si no se está completamente seguro de la necesidad de hacerlo, y recordar que los bancos nunca le van a pedir esa información puesto que ya la tienen.

Como no caer en las redes del phishing

Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

Este incidente tiene dos caras:

  • nosotros o nuestros empleados podemos recibir un email, una llamada telefónica o un mensaje SMS, que en realidad es un timo, con el que intentarán robarnos los datos personales, es decir, seremos los «pescados»;
  • nuestra web puede ser atacada para suplantar a otra y enviar correos de phishing con los que robar datos personales de clientes de la entidad suplantada, es decir seremos «la caña del pescador».

Es decir, con este nombre se conoce por una parte a la estafa que podemos sufrir, generalmente a través de un mensaje fraudulento de correo electrónico, con el que el ciberdelincuente pretende capturar de forma ilícita nuestros datos personales: como contraseñas de acceso a nuestros sistemas o datos de nuestras cuentas bancarias.

Y también se denomina así al ataque que sufrimos en nuestra web por el que cambian su aspecto para suplantar a una entidad a la que redirigen a los que pican en los mensajes fraudulentos que envían masivamente y que podrían ser enviados desde la página falsa de la entidad suplantada. Esto fue lo que pasó a Andrés, un empresario que nos lo cuenta en esta historia real.

Para hacer frente a esta amenaza en tu empresa tienes que:

  1. Proteger tu web para impedir que sea objeto de este tipo de ataques.
  2. Concienciar a tus empleados para evitar que «piquen» en el anzuelo del email fraudulento y les den por ejemplo las contraseñas de acceso a nuestros sistemas, a nuestra web, o  la cuenta del banco. 

Además de proteger tu web, en esta infografía tienes diez consejos para evitar que tú o tus empleados seáis víctimas de phishing.

Los dos primeros van dirigidos al responsable de soporte tecnológico, para que evite cualquier fallo técnico y ponga en marcha las medidas tecnológicas como antivirus o filtros de correo, para evitar o identificar cualquier intento de infección de nuestros sistemas, ya que a través de un mensaje fraudulento podrían instalar algún tipo de malware de los que nos espían (spyware) y roban contraseñas (keyloggers).

Los otros ocho son consejos para todos los empleados, para desenmascarar cualquier intento de phishing y no «picar» en esos anzuelos.

El «cebo» de estos mensajes suele ser su remitente, su aspecto suplantando un correo legítimo y su tono de urgencia, adulador o amenazante. Son técnicas de ingeniería social y sólo podemos hacerles frente estando avisados y entrenándonos (por ejemplo con este kit).

El anzuelo viene en forma de enlace o fichero a descargar. Está afilado y si picamos no podremos soltarnos pues está diseñado con un doble gancho (la «muerte») para no perder la presa. Los enlaces pueden iniciar la descarga de malware o llevarnos a páginas en las que nos pedirán nuestras credenciales. Los ficheros adjuntos pueden tener malware o programas que se los descarguen. En ambos casos si hacemos clic, estamos muy cerca de quedar atrapados. Si has hecho clic en un enlace tendrás que aprender a identificar las páginas fraudulentas para que la «muerte» no te atrape. Y si descargas un fichero por error quizá lo mejor sea deshacerte de él. Sigue los consejos sobre los enlaces y los ficheros descargables para no morder el anzuelo.

Decálogo Antiphishing El phishing es un ataque que se inicia enviando a la víctima una comunicación en la que, suplantando a una entidad conocida, le piden que haga clic en un enlace, descargue un fichero o envíe información sensible.  El objetivo es robar cuentas, contraseñas y otros datos, o infectarle con malware.  Sigue este decálogo para hacerle frente. 1.	Instala un antivirus con antiphishing para correo y páginas web. Mantenlo actualizado, con las firmas al día y activado. 2.	Actualiza el software de tus sistemas y de tu web en cuanto conozcas que hay una actualización, pues se aprovechan de estos fallos para instalar el malware. 3.	Permanece atento para reconocer los ataques de ingeniería social. Si tienen prisas, te adulan o te amenazan, ¡desconfía!  4.	Si tienes dudas de la veracidad del mensaje o de su procedencia, contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje antes de responder o hacerles caso. 5.	No hagas clic en una URL para introducir tus datos sin antes pasar el ratón sobre el enlace para comprobar si es legítimo el sitio a dónde te dirige.  6.	Desconfía de las URL acortadas, pues no se puede comprobar si el destino es legítimo o no. Los sitios legales no las utilizarán para pedirte datos. 7.	Antes de hacer login en una web, comprueba su identidad: consulta los datos de certificado, en el candado de la barra de navegación. Verifica que usa https://. 8.	Antes de introducir el email, y otros datos sensibles, en una web o en un formulario lee y comprende la política de privacidad y el aviso legal para evitar dar tu consentimiento a que cedan esos datos a terceros y terminen en manos de ciberdelincuentes. 9.	Al descargar un fichero no hagas clic en «habilitar el contenido» salvo que confíes en la fuente de dónde procede. Si al descargar un fichero te solicita permiso para habilitar el contenido, no te fíes, podría iniciarse la descarga del malware.  10.	Ante la menor sospecha: ¡borra el mensaje o cuelga esa llamada!

Enlace al tutorial: https://www.incibe.es/protege-tu-empresa/blog/phishing-no-muerdas-el-anzuelo