Panda Security ha detectado a varias personas que han sido víctimas de una nueva estafa a través de Bizum, la aplicación para hacer pagos bancarios entre contactos de la agenda de contactos del móvil. De hecho, la Policía Nacional ya ha recibido denuncias de algunos afectados por este phishing en el que se ha utilizado la popular plataforma de pagos móviles.
El engaño consiste en que una supuesta funcionaria de la Tesorería General de la Seguridad Social llama a sus víctimas indicando que tienen pendiente la devolución de unas tasas por la escolarización de sus hijos. La falsa trabajadora de la Seguridad Social les indica que se trata de una ayuda del Estado para hacer frente a la crisis de la Covid-19, dando incluso información sobre el número de hijos y las edades de las víctimas.
Después de hablar unos minutos con la víctima y ‘cerciorarse’ que, en efecto, es ‘merecedora’ de la ayuda económica del Estado, los criminales le envían un SMS cuyo remitente es “TGSS” (coincidiendo con las siglas de la Tesorería General de la Seguridad Social) en el que aparece un supuesto código de validación que se debe firmar.
Si la víctima cae en el engaño, los ciberdelincuentes consiguen también los datos de su cuenta bancaria para recibir la oferta. Más tarde, los hackers asocian su tarjeta de crédito o su cuenta bancaria a Bizum, que necesita un número pin de conformidad para operar en cada transacción. Justo este pin es lo que las víctimas firmaban pensando que es un código de activación.
“Lo más preocupante de esta estafa es que la banda organizada de cibercriminales se está sirviendo de la ingeniería social para que su engaño sea casi perfecto”, enfatiza Hervé Lambert, Global Consumer Operations Manager de Panda Security.
En esta ocasión, los atacantes no llaman de manera indiscriminada a una base de datos de teléfonos aleatoria, sino que estudian primero a sus víctimas. Las analizan en las redes sociales, ven las fotos de sus hijos e incluso adivinan sus nombres y apellidos. A partir de aquí, hacen una búsqueda en Internet para saber su dirección postal o incluso su DNI. Una vez que lo saben todo de sus víctimas, sólo tienen que llamar por teléfono y perpetrar el engaño.
No es la primera oleada que se detecta
Sin embargo, este tipo de estafas empieza a ser algo habitual. Ese mismo año, la Guardia Civil, detuvo en febrero a un grupo organizado que había robado 100.000 euros en pocos días.
En esta ocasión, el modus operandi era diferente, porque los atacantes llamaban por teléfono desde Perú a personas de este país y residentes en España. Pero, en lugar de haber ‘estudiado’ previamente a sus víctimas por medio de la ingeniería social ‘los delincuentes aprovechaban la llamada para obtener toda la información posible sobres sus víctimas.
Varios días después, los criminales volvían a llamar haciéndose pasar por la operadora de telefonía con la que tenían contratado el móvil y les ofrecían sugerentes ofertas como rebajas en sus facturas o incluso regalos de dispositivos digitales.
Cuando las víctimas accedían al engaño, los ciberdelincuentes volvían a ejecutar los mismos pasos para enviar el dinero a cuentas ‘fantasma’ y enviarlo a Perú, para posteriormente retirar el dinero en efectivo de cajeros automáticos.
“Todos estos ejemplos nos deben recordar que es muy importante que la sociedad se conciencie de que todo lo que hacemos público en las redes sociales es una información valiosísima para los cibercriminales. Debemos ser escrupulosamente cautos a la hora de gestionar la privacidad de nuestros perfiles sociales y de nuestros dispositivos, ya sean móviles, tabletas, ordenadores o cualquier wearable o aparato conectado a nuestra casa “, explica Hervé Lambert, de Panda Security.
.- Este es un artículo de tecnonews.info y AMIC para Menorcaaldia.com
