Unicaja Banco alerta a sus clientes de una nueva estafa que busca robar datos personales

Los ciberataques siguen a la orden del día. El Phishing o mishing son algunas de las técnicas que usan los delincuentes de la red para suplantar la identidad de un banco y así robar datos o, directamente, dinero de las cuentas. Uno de los casos detectados últimamente afectaba a los clientes de Unicaja Banco, con SMS fraudulentos que suplantan a la entidad financiera. Ahora se ha dado a conocer otra estafa, esta vez por email, que busca justamente robar datos personales.

Tal y como explican desde Unicaja Banco, la mayoría de los métodos de phishing utiliza la manipulación en el diseño del correo electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual se hace pasar el impostor. Al pinchar en ese enlace, la víctima puede estar descargándose cualquier tipo de malware o accediendo a una página web fraudulenta que simule, por ejemplo la de su banco de confianza.

En este último caso, el usuario cree estar iniciando sesión en la propia página de su banco o servicio ya que la apariencia puede ser muy parecida a la página oficial. Normalmente los usuarios reciben un mensaje diciendo que deben verificar sus cuentas, seguido de un enlace que parece la página web auténtica. Una vez en la página fraudulenta, se le solicitará el usuario, la contraseña, y toda la información que el phisher considere relevante para poder acceder a las cuentas bancarias de la víctima.

Con toda esta información, el atacante puede acceder a la página legítima, identificarse con los datos de la víctima y realizar operaciones. En el caso de tratarse de una banca electrónica, lo normal es que realice transferencias a cuentas de las que tenga el control.

Para evitar dejar rastro, el phisher captará a una serie de intermediarios (muleros) que serán los que se personarán a retirar el dinero transferido anteriormente bien por ventanilla o por cajero automático, o transfiriendo los importes recibidos en cuentas de su titularidad a otras de titularidad de los delincuentes.

Para ello, en algunos casos utilizando también ingeniería social, enviarán mensajes o publicarán ofertas de empleo donde se ofrece dinero fácil y rápido con poco esfuerzo. Los que caigan en la trampa deberán rellenar campos como datos personales y número de cuenta bancaria, que será la destinataria de las transferencias fraudulentas (cuenta mula).

Resumiendo, las distintas fases de un ataque de phishing dirigido contra una entidad bancaria y sus clientes pueden ser los siguientes:

1. Captación de muleros y «cuentas mula»

2. Envío de correos, ya sean masivos (phishing) o dirigidos (spear phishing)

3. Acceso a la página fraudulenta por parte de las víctimas, proporcionando los datos necesarios para cometer el fraude.

4. Acceso a la banca electrónica por los ciberdelincuentes suplantando a las víctimas y realización de transferencias fraudulentas a las «cuentas mula».

5. Traspaso de las «cuentas mula» a las de los ciberdelincuentes por parte de los muleros de las cantidades robadas, menos un porcentaje que se quedan los muleros.

Hay numerosos programas informáticos anti-phishing que nos pueden ayudar a evitar ser víctimas de este fraude. La mayoría de ellos identifican contenidos en sitios web y correos electrónicos, algunos pueden integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real visitado. Los filtros antispam también ayudan, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.

Desde el punto de vista de las empresas, se han introducido refuerzos como el doble factor, consistente en un código enviado por sms al móvil o a través de notificaciones en smartphones con la aplicación bancaria instalada, de un solo uso y con una validez limitada en el tiempo, que debe ser introducido junto con otra medida de seguridad (como puede ser una coordenada) para operaciones sensibles.

También se pueden contratar servicios de monitoreo continuo, analizando y utilizando los medios que la ley pone a su disposición para el cierre de páginas fraudulentas.

• Temas
• Internet
• Unicaja
• Ciberataque
• Banca online
• Ciberseguridad