“Han entrado en mi banco (...) Como no podían hacer la transacción, me han mandado un mensaje con un enlace”. Esto afirma el streamer Joaquín Domínguez, más conocido como el Xokas, en un vídeo en el que explica cómo le intentaron robar 300.000 euros de su cuenta bancaria. Los ciberdelincuentes, que ya tenían acceso a su cuenta, le enviaron un SMS fraudulento haciéndose pasar por su entidad con el objetivo de conseguir un código de autenticación con el que poder autorizar la transferencia.
Según explican desde el Instituto Nacional de Ciberseguridad (INCIBE) a Maldita.es, los atacantes pueden obtener previamente nuestros datos de acceso bancario de varias maneras. Por ejemplo, a través de un ataque anterior, una filtración de datos o un malware (software malicioso) instalado en nuestro dispositivo.
Los timadores tratan de engañarnos para conseguir un código de autenticación
El Xokas recibió un SMS sospechoso, supuestamente de su banco, mientras retransmitía en directo. “Se ha registrado un nuevo dispositivo a la banca online, si no reconoces esta operación, verifica inmediatamente”, afirmaba el mensaje que le llegó junto a un enlace. Se trata de un ataque de smishing: a través de un SMS, los timadores se hacen pasar por nuestra entidad bancaria con el objetivo de que pinchemos en un link y hacerse con nuestros datos personales.
Rápidamente, el streamer contactó con su banco y le dijeron que alguien había accedido a su banco desde una IP de la India y que estaba tratando de hacer una transacción de 300.000 euros a una cuenta. Sin embargo, según explicó el Xokas, el sistema de seguridad de su banco requiere que se autentifique su identidad de varias formas para realizar cualquier transferencia: “No solamente me tengo que conectar a mi cuenta con Face ID [reconocimiento facial] y con mi código, sino que la tengo que aceptar yo manualmente desde la aplicación”.
“Como no podían hacer la transacción por culpa de eso, me mandaron un enlace (...) para que yo accediera al banco desde el link y metiera ahí los datos y pudieran terminar de ejecutar la transferencia”, afirmó. Rafael Tuñón, experto en ciber riesgo humano e ingeniería social, también explica en este vídeo publicado en su perfil de TikTok (@rafa_ciber) que los ciberdelincuentes ya habían entrado en la cuenta bancaria del Xokas y lo que les faltaba para hacer la transferencia era un código de autenticación.
@rafa_ciber 𝐎𝐉𝐎, 𝐐𝐔𝐄 𝐂𝐀𝐒𝐈 𝐄𝐒𝐓𝐀𝐅𝐀𝐍 𝐀 𝐗𝐎𝐂𝐀𝐒 𝐄𝐍 𝐃𝐈𝐑𝐄𝐂𝐓𝐎! 🤯 Tal vez una de tus fantasías sea ser streamer o quizás no, pero imagina esto: eres uno de los streamers más grandes de España, tienes a cientos de miles de personas viéndote en directo, y de repente… ¡ZAS! Te llega un mensaje que parece ser de tu banco diciendo que se ha conectado un dispositivo desconocido a tu cuenta. Esto es justo lo que le pasó a Xocas hace muy poco, y tuvo 𝐮𝐧 𝐦𝐨𝐦𝐞𝐧𝐭𝐨 𝐝𝐞 𝐚𝐠𝐨𝐛𝐢𝐨 𝐛𝐚𝐬𝐭𝐚𝐧𝐭𝐞 𝐢𝐦𝐩𝐨𝐫𝐭𝐚𝐧𝐭𝐞. 🔥 Lo primero que pensó: “Esto no es un bait, es mi banco de verdad”. 𝐄𝐬𝐭𝐚 𝐞𝐬 𝐮𝐧𝐚 𝐝𝐞 𝐥𝐚𝐬 𝐭𝐞𝐜𝐧𝐢𝐜𝐚𝐬 𝐪𝐮𝐞 𝐮𝐬𝐚𝐧 𝐝𝐞𝐧𝐭𝐫𝐨 𝐝𝐞 𝐥𝐚 𝐞𝐬𝐭𝐚𝐟𝐚 𝐥𝐥𝐚𝐦𝐚𝐝𝐚 𝐬𝐦𝐢𝐬𝐡𝐢𝐧𝐠: los estafadores envían mensajes que pueden parecer reales, a veces incluso desde el mismo número de tu banco. No siempre pasa, pero puede ocurrir, y esto es lo que hace que todo parezca súper auténtico. 😱 Xocas, agobiado por el ataque de ingeniería social, intentó cambiar la contraseña y revisar qué pasaba, pero se dio cuenta de que era una trampa para que clicara en un enlace falso y diera sus datos. 𝐏𝐨𝐫 𝐬𝐮𝐞𝐫𝐭𝐞, 𝐧𝐨 𝐜𝐚𝐲𝐨́ 𝐲 𝐜𝐨𝐧𝐭𝐚𝐜𝐭𝐨́ 𝐝𝐢𝐫𝐞𝐜𝐭𝐚𝐦𝐞𝐧𝐭𝐞 𝐜𝐨𝐧 𝐬𝐮 𝐛𝐚𝐧𝐜𝐨. 🙌 Esto nos puede pasar a todos, así que ¡mucho ojo con los SMS! 🚫📲 𝐑𝐞𝐜𝐮𝐞𝐫𝐝𝐚: ¡𝐧𝐮𝐧𝐜𝐚 𝐜𝐥𝐢𝐪𝐮𝐞𝐬 𝐞𝐧 𝐥𝐢𝐧𝐤𝐬 𝐫𝐚𝐫𝐨𝐬, 𝐚𝐮𝐧𝐪𝐮𝐞 𝐩𝐚𝐫𝐞𝐳𝐜𝐚𝐧 𝐝𝐞 𝐭𝐮 𝐛𝐚𝐧𝐜𝐨! Si te llega algo raro, mejor busca el número oficial de tu banco en Google (¡Ignorando los resultados promocionados!) y llama directamente para verificar. No dejes que te pillen con la guardia baja. 😉 #Ciberseguridad #Xocas #EstafasOnline #NoPiques #ingenieriasocial ♬ 10 minutes, meditation, sleep, mindfulness, night(951759) - Gloveity
En este sentido, Iván Forcada, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, explica que desde que entraron en vigor las directivas europeas PSD2, es necesario utilizar un segundo factor de autenticación para operar con la banca online. “Este segundo factor puede ser un SMS o algún otro tipo de aplicación que facilita un código de un sólo uso”. El especialista explica que, para obtener ese código, los timadores intentarán engañarnos. Por ejemplo, podrían llamarnos haciéndose pasar por nuestro banco para informarnos de una supuesta “actividad sospechosa” e intentar ganarse nuestra confianza.
Por qué los timadores pueden tener nuestros datos de acceso al banco
“Los ciberdelincuentes sí que tenían acceso a mi contraseña, y eso que es una contraseña de infarto”, afirma el Xokas en el vídeo. ¿Cómo es posible que los timadores tengan nuestros datos de acceso a la banca online incluso antes de mandarnos un SMS fraudulento? El INCIBE indica a Maldita.es que los atacantes pueden obtener esos datos de varias formas.
Por ejemplo, mediante otros ataques previos de ingeniería social, como es el smishing o el phishing (suplantación de identidad a través de email). Tuñón afirma a Maldita.es que, en el caso del Xokas, es posible que él mismo hubiese facilitado sus datos de acceso a su cuenta bancaria en un ataque anterior, sin darse cuenta. De este modo, según el experto, “solamente faltaba que él entregase ese código de autenticación mediante ese segundo ataque de ingeniería social que le mandaron”, es decir, mediante el SMS fraudulento.
El INCIBE plantea otras posibilidades, como que nuestros datos bancarios terminen “en manos de criminales o en el mercado negro de datos” tras una filtración de datos de una entidad que almacena nuestra información financiera. Otro escenario posible es que nuestro teléfono móvil haya sido infectado con malware “al abrir un archivo adjunto sospechoso o tras descargar software de fuentes no confiables”.
Por qué un SMS fraudulento nos puede llegar en el mismo hilo de mensajes oficiales del banco
Una de las cosas que llamaron la atención del Xokas es que el mensaje fraudulento le llegó a la misma bandeja de entrada que otros mensajes verídicos que le había mandado antes su banco. Como ya os contamos en Maldita.es, esto se debe a una técnica llamada SMS spoofing que utilizan los timadores.
Desde el INCIBE explicaron a Maldita.es que el SMS fraudulento no se envía desde la cuenta de una entidad o banco, ni desde su número de teléfono, sino que los ciberdelincuentes dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la empresa. De esta manera consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. En este artículo tienes una serie de consejos para identificar este tipo de SMS fraudulentos.
Consejos para evitar ser víctima de ‘smishing’
Aquí tienes una serie de recomendaciones que puedes seguir cuando te vuelva a llegar un mensaje que use el nombre de tu empresa de confianza:
Mira bien la dirección de la web a la que te redirige antes de pinchar. Normalmente este tipo de notificaciones vienen con un link. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate en lo que aparece antes del último punto, ese es el dominio real de la página web.
No descargues ninguna supuesta aplicación. Podría contener malware.
Activa la protección contra spam en tu móvil.
Párate un momento a pensar. Estos mensajes suelen transmitir urgencia para que tomes medidas cuanto antes y sin razonar.
Contrasta con las fuentes antes de dar tus datos. Recuerda que puedes preguntar a la propia compañía o contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través de su línea de ayuda en ciberseguridad.
Qué hacer si hemos sido víctimas de este timo
Si has caído en el engaño y has facilitado tus datos, aquí tienes una serie de pasos a seguir:
Si has facilitado tus datos personales, práctica el egosurfing para comprobar que no se está haciendo un uso indebido de los mismos.
Si también has facilitado los datos de tu tarjeta bancaria o tus credenciales de acceso a la banca online, contacta con tu entidad cuanto antes para contarles lo ocurrido y tomar las acciones necesarias.
Recopila todas las evidencias de cómo se ha producido el timo y denuncia ante la Policía Nacional o la Guardia Civil.
Es posible que te hayan suscrito a un servicio de pago online. En este artículo explicamos cómo saberlo y cómo podemos darnos de baja.
Si piensas que has sido víctima de este timo puedes contarnos tu historia escribiéndonos a [email protected].
En este artículo ha colaborado con sus superpoderes el maldito Iván Forcada, experto en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.