MENÚ

Qué es el fraude BEC, la web fraudulenta tinyurl5.ru que instala ‘adware’ en el navegador y servicios de SMS premium: llega el tercer consultorio de Maldito Timo

Publicado
Comparte

Como cada último martes del mes, ¡ya está aquí el consultorio de Maldito Timo! En esta ocasión, os explicamos qué es el fraude BEC (Business Email Compromise) que afecta a las empresas y cómo los ciberdelincuentes consiguen cambiar el número de cuenta bancaria en facturas enviadas a través de correo electrónico. También hablamos del sitio tinyurl5.ru, que aloja casos de phishing y que también podría infectar nuestro navegador con adware. Además, definimos qué es un servicio de SMS Premium y cómo los timadores tratan de suscribirnos a ellos sin que nos demos cuenta.

Recuerda que puedes mandarnos tus dudas sobre ciberestafas y ciberseguridad a través de nuestro ‘buzón de timos’ ([email protected]), nuestros perfiles de Twitter y Facebook y nuestro chatbot de WhatsApp (+34 644 229 319). ¡Empezamos!

¿Qué es el "fraude BEC"?

“Después de que unos pintores me hicieran unos trabajos, en el momento del pago, hackearon el correo de la empresa de pinturas y me enviaron una factura idéntica con el número de cuenta bancaria cambiado”. Esto que relata un lector de Maldita.es se conoce como compromiso del email corporativo o fraude BEC (por su nombre en inglés, Business Email Compromise). Los ciberdelincuentes acceden a la cuenta de correo del empresario, buscan una factura y cambian el número de cuenta del destinatario de la transferencia.

Como explica en su web la Asociación de Usuarios Financieros (Asufin), con esta técnica los timadores se hacen con el dinero “pues los bancos aceptan transferencias aunque el nombre del titular y el número de cuenta no pertenezcan a la misma persona”. Se trata de un fraude muy frecuente que afecta en especial a la pequeña y mediana empresa (Pyme) en todo el mundo. Por ejemplo, en 2021, el FBI de Estados Unidos recibió más de 19.000 reclamaciones por fraude BEC, con pérdidas de hasta 2.4 mil millones de dólares, según refleja el informe anual del Centro de Delitos en Internet (IC3).

Existen numerosas técnicas mediante las cuales los ciberdelincuentes pueden acceder al correo electrónico para cambiar el número de cuenta en facturas. Según el Instituto Nacional de Ciberseguridad (INCIBE), pueden obtener las credenciales de la cuenta de correo utilizando técnicas de ingeniería social, como ataques de phishing en los que suplantan a entidades o shoulder surfing, visualizando las credenciales cuando las tecleamos. También es posible que nuestro dispositivo esté infectado con un malware que puede espiarnos y robarnos nuestra contraseña. Incluso pueden lanzar ataques automatizados contra el servidor de correo probando contraseñas de uso común hasta que consiguen entrar o usando claves filtradas por brechas de seguridad.

Esto último es lo que le ocurrió a José Manuel, contable en un comercio familiar que fue víctima de un fraude BEC con una factura de un proveedor. Como expone el INCIBE, el contable utilizaba la misma contraseña para todo, tanto para el correo corporativo como para sus redes sociales o plataformas de streaming. Tras consultar en la web Have I Been Pwned, comprobó que su contraseña aparecía en una filtración de datos reciente.

Al tener la contraseña, el ciberdelincuente entró en el correo electrónico corporativo y creó una regla por la cual todos los correos que llegaban de parte del proveedor de la empresa eran desviados a un buzón externo y, por lo tanto, no llegaban a aparecer en la bandeja de entrada. De este modo, cuando el proveedor de la empresa de José Manuel envió la factura, fue desviada y el timador la editó para cambiar la cuenta y mandársela desde una dirección de correo que suplantaba a la de su proveedor.

Si nuestro correo electrónico está comprometido, debemos revisar si existen reglas o filtros no deseados configurados en nuestra cuenta y borrarlos. También debemos examinar los usuarios de correo “para localizar y desactivar los que se hayan creado recientemente” y también “los registros o logs de acceso a la cuenta afectada para detectar accesos ajenos o no controlados”, según recomienda el INCIBE. También aconsejan cambiar la contraseña por una más robusta y aplicar el doble factor de autenticación (2FA).

Si hemos sido víctimas de este fraude, el organismo recomienda que contactemos con nuestro banco para comunicar lo ocurrido e intentar revertir la transferencia y que denunciemos el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado. También podemos reportar el incidente adjuntando el correo y sus adjuntos al INCIBE-CERT.

La web de ‘phishing’ tinyurl5.ru, ¿podría infectar nuestro navegador de ‘adware’?

En los últimos meses os hemos advertido de diversos sorteos falsos que buscan hacerse con nuestros datos personales y bancarios: billetes de avión de Iberia gratis, minineveras de Coca-Cola o barbacoas de Leroy Merlin. Estas ofertas falsas tienen una cosa en común: todas provienen de la web tinyurl5.ru. Este sitio no sólo se ha observado en varios casos de phishing detectados por Maldita.es en España, sino también en otros países, como un supuesto sorteo de Amazon que circuló en India o un supuesto concurso de la marca de cervezas Corona que se detectó en Chile.

En Internet encontramos numerosas páginas web de ciberseguridad que alertan de que los usuarios están viendo anuncios emergentes de la web tinyurl5.ru. Como señala Alejandro Mata, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, esto se debe a que tinyurl5.ru es un sitio web fraudulento que podría intentar instalar adware en nuestro navegador web, un software diseñado para llenar tu pantalla de molestos anuncios.

“De igual forma que podemos instalar plugins en nuestro navegador para bloquear publicidad o para cambiar el motor de búsqueda por defecto, un adware puede redirigir nuestro tráfico o los anuncios que vemos a un servidor controlado por el atacante, con el cual obtener información o para facilitar que terminemos infectando nuestra máquina a nivel de sistema operativo”, explica Carlos Tomás Moro, maldito experto en ciberseguridad, hacking y fundador de Enigmedia. En este caso, según apunta, al adware se le ha llamado también tinyurl5.ru por ser la web desde la que se instala.

Según apunta Mata, el alcance del adware dependerá de la configuración de nuestro navegador y de las medidas de seguridad que el propio dispositivo tenga dependiendo de su sistema operativo. Además de reproducir publicidad en tu navegador, el adware podría redirigir tus búsquedas a determinados sitios web y recopilar información sobre ti. “Si el adware no te notifica que está recopilando información, se considera malicioso, introduciéndose de forma secreta en tu navegador y explotando su información de manera silenciosa”, afirma el especialista.

La solución más efectiva para este problema, según Mata, es utilizar adblockers o bloqueadores de anuncios para los navegadores, como Adblock Plus, AdGuard y uBlock Origin. “Dicho programa funciona bloqueando la conexión a internet de estas páginas webs publicitarias o de márketing digital”. También recomienda borrar el historial, las cookies del navegador y bloquear las notificaciones de navegador de páginas web que no conozcamos.

Para evitar caer en este tipo de peligros, Santiago Casteleiro, maldito e informático experto en técnicas de hacking, recomienda mantener los programas de nuestro dispositivo actualizados, realizar un escaneo de nuestro ordenador con un antivirus y, en general, usar el sentido común: “Si una empresa legítima decide realizar un sorteo entre sus clientes, en ningún caso solicitará ningún tipo de dato personal y/o bancario, ni tampoco que se comparta el sorteo entre los contactos de sus clientes”.

Servicios de SMS premium: ¿qué son y cómo puedo darme de baja?

En Maldita.es os advertimos constantemente de los intentos de smishing que detectamos, en los que los timadores se hacen pasar por una empresa o entidad conocida a través de un mensaje de texto. En ocasiones, el objetivo de estos ataques es suscribirnos a un servicio de SMS premium sin nuestro conocimiento. Por ejemplo, como el supuesto SMS de parte Uber en el que te solicitaban enviar un mensaje a un número con la palabra ‘STOP’. Si mandabas el mensaje a ese número, que tenía un prefijo sueco, podían hacerte un cobro que se incluía en tu factura telefónica.

El servicio de SMS Premium, como define la Asociación Española de Empresas Contra el Fraude (AEECF), se trata de un “servicio de suscripción de contenidos como juegos, concursos, tonos de llamada o música solicitado a través del envío de SMS que cuentan con una tarificación especial por encima del coste de los mensajes tradicionales”. Estas suscripciones, según la asociación, puede suponer un aumento considerable de la factura.

Según la Oficina de Seguridad del Internauta (OSI), el fraude consiste en conseguir que los usuarios faciliten su número de teléfono o contesten a algún mensaje para poder suscribirles al servicio de tarificación especial. Para ello, no sólo recurren al smishing, sino también a otras prácticas como concursos, sorteos y promociones fraudulentas en las que se solicita el número con la excusa de confirmar la participación.

El timo también se puede producir a través de páginas de descarga de contenidos, programas y aplicaciones no oficiales que piden ingresar el teléfono o mediante aplicaciones móviles que tienen permisos para el envío de mensajes de texto y que hacen mal uso de ese acceso. “Existen otros muchos métodos para engañarnos y hacer que compartamos nuestro número de teléfono o respondamos a algún mensaje; por ejemplo, mediante juegos online, consultas del tarot o visualización de contenidos para adultos”, apunta la OSI.

Si hemos caído en el timo, debemos comprobar si estamos suscritos a algún servicio. Lo más fácil, según la OSI, es comprobarlo en la factura telefónica y fijarnos si en el apartado de mensajes de texto hay alguno que nos cobre una tarificación especial. En ese caso, podemos contactar con nuestra operadora para que nos den de baja. Y, si nuestra compañía no nos responde o no nos da una solución, podemos acudir a la Oficina de Consumo de nuestra ciudad. También podemos presentar una reclamación ante la Oficina de Atención del Usuario de Telecomunicaciones. Asimismo, podemos denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado.

También podemos confirmar si tenemos alguna aplicación móvil con permisos para usar servicios de SMS premium. Abre el menú ‘Ajustes’ y en el buscador escribe ‘SMS’ o ‘Acceso a SMS Premium’, dependiendo del teléfono. Pulsa sobre la opción y comprueba las aplicaciones que tienen ese permiso concedido y elimina las suscripciones en caso de que las tengas.

Y para terminar…

Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!

En este artículo han colaborado con sus superpoderes los malditos Alejandro Mata, Carlos Tomás Moro y Santiago Casteleiro.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.