Paula, una lectora de Maldita.es, recibió un supuesto SMS de su banco, ING, en el que le avisaban de una transferencia retenida. Tras introducir sus credenciales, recibió una supuesta llamada del banco en la que le informaban de movimientos sospechosos en su cuenta y le pedían datos para, supuestamente, anular sus tarjetas bancarias. Sin embargo, quien llamaba no era su banco y le quitaron 850 euros. Cuidado con el vishing: a través de una llamada telefónica, los timadores se hacen pasar por una entidad conocida para hacerse con tus datos personales y bancarios.
Primer paso: un SMS en el que suplantan al banco
Paula recibió un SMS supuestamente de ING en el que le informaban de una transferencia retenida: “Su transferencia por importe de 998,50 EUR ha sido retenida por motivos de seguridad, por favor verifique: https://es.ing-derect.com”. La página web a la que dirigía el enlace del SMS parecía la de su banco, por lo que introdujo sus credenciales y le dio a “aceptar”. “Pero en la siguiente pantalla me pedían el teléfono, y como en la app del banco nunca lo piden, no seguí”, asegura.
Sin embargo, si nos fijamos, el dominio de la página web “es.ing-dierect” no es como el de la página oficial de ING (ing.es). De hecho, si ahora intentamos acceder a esa web, nuestro navegador nos avisa de que se trata de un sitio web sospechoso en el que se ha detectado phishing, una técnica por la que los timadores se hacen pasar por una entidad que conocemos para hacerse con nuestros datos personales y bancarios.
Segundo paso: se hacen pasar por ING a través de llamada
Tras introducir las credenciales en la web, recibió una llamada supuestamente de su banco en la que le decían que había habido un movimiento sospechoso en su cuenta y que necesitaban anular sus tarjetas bancarias. “Yo sospecho y pido que me digan mis datos para ver si no era un fraude y me facilitan mi nombre, dirección y número de cuenta, por lo que prosigo para anular las tarjetas y cambiar de clave”, explica Paula.
¿Cómo es posible que los timadores tuvieran sus datos personales? Iván Forcada, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, explicó a Maldita.es que es posible que los ciberdelincuentes tuvieran los datos de la víctima antes de realizar la llamada, por ejemplo, “mediante ataques personalizados (como el phishing) o simplemente porque se venden en la Dark web".
Paula explica que los timadores le pidieron datos para supuestamente anular sus tarjetas: “Me pidieron diferentes posiciones de mi clave y me dijeron que aceptase una notificación que me llegaba mientras hablábamos”. Tras seguir varios pasos, le colgaron el teléfono. “Es cuando llamo a mi banco y me dicen que no eran ellos. Me han estafado 850 euros”, afirma. Este es un caso de vhishing, que es cuando los timadores suplantan a una entidad a través de llamada telefónica.
La víctima ha denunciado el caso ante la Policía Nacional y ha reclamado ante su banco, pero la entidad no se hace cargo. “Me dicen que no me lo devuelven por facilitar yo los datos”, señala. En Madita.es ya os hemos explicado que, por normal general, los bancos no se ven obligados a devolver el dinero perdido en un fraude (como un caso de phishing) ya que se considera negligencia por parte del usuario.
Consejos de ING para protegerse del ‘vishing’ y el ‘smishing’
El banco ING recomienda no facilitar ninguna información personal ni bancaria a través de una llamada telefónica “especialmente las claves únicas que recibas por SMS”. La entidad aclara que “tanto el banco como la compañía telefónica disponen de la información necesaria para realizar las gestiones, por lo que no es necesario que se la proporciones de nuevo a quien está llamando”.Y si sospechas de la llamada que has recibido, debes contactar con el banco directamente para verificar si lo que te dicen es cierto.
En cuanto a los intentos de phishing a través de SMS (smishing), ING recuerda que el banco nunca te pedirá por SMS que facilites tus claves de acceso al completo ni los datos de tu tarjeta. Tampoco pinches en los enlaces de esos mensajes ni descargues archivos adjuntos.
Primera fecha de publicación de este artículo: 28/07/2023