Agentes de la Policía Nacional han detenido en Valencia a un varón de 25 años como presunto autor de un delito de estafa tras obtener, mediante el método conocido como smishing, datos de más de 4.000 tarjetas bancarias para comprar en diferentes comercios y retirar dinero en cajeros automáticos. Las investigaciones se iniciaron en el mes de octubre cuando un establecimiento comercial informó a los agentes que un varón realizaba compras con distintas numeraciones de tarjetas de diferentes bancos españoles. Por tales hechos, los agentes comprobaron que, a través de técnicas informáticas, robó información bancaria para operar con ellas.
Phishing
Durante las pesquisas, los agentes averiguaron que el entramado delictivo se dividía en dos etapas diferenciadas. En un primer momento, el detenido usó el modus operandi conocido como phishing, a su vez separado en varias fases. De forma previa a la estafa, el hombre obtuvo los servicios de una VPN durante un mes. Se trata de un software creado para proteger la privacidad, además del anonimato, y en el que no se necesita identificar al titular para su contratación. Igualmente, este negocio suele tener su sede en países donde la colaboración policial es nula, lo que hace muy compleja la investigación.
Seguidamente, adquirió dominios con nombres similares a la Agencia Tributaria y a Correos haciendo creer a sus víctimas que operaba con las webs originales. Así pues, los usuarios accedían a páginas fraudulentas como www.correo-pagar.com, www.agenciatributaria-es.com y www.agenciatributaria-es.online. Ya por último, dentro de estos portales de Internet insertó formularios para que las víctimas introdujesen los datos de sus tarjetas. De esta forma, logró información como el número de identificación, el PIN, el CVV y la fecha de caducidad.
Smishing
En la segunda etapa de la trama, a través de la táctica del smishing, envió más de 170.000 mensajes a teléfonos españoles que simulaban proceder de la Agencia Tributaria, Correos y de diferentes entidades bancarias con el objetivo de llevar a engaño a sus víctimas. Así, la persona recibía el mensaje de texto creyendo que procedía de un sitio oficial, por lo que introducía sus datos con la finalidad de desbloquear una cuenta, pagar las aduanas de un paquete retenido de correos o liberar el pago de la declaración de la renta. Siempre dando por hecho la fiabilidad del supuesto remitente.
En el transcurso de las investigaciones, los agentes conocieron que el investigado usaba una aplicación de envío masivo de mensajes, al distribuirlos en gran número y en menos de un segundo. En concreto, 31.147 envíos simulaban ser la Agencia Tributaria y 140.345 Correos. Dentro del texto, el supuesto estafador mandaba el enlace del sitio web fraudulento para captar la información sensible de sus víctimas. Además, los agentes comprobaron que el sospechoso disponía de 431.000 números de teléfono adquiridos en la “Dark web.
Una vez tenía en su poder los datos bancarios de las víctimas volcaba la numeración de las tarjetas en una app de pago vía móvil, que a su vez estaba asociada a varios terminales de su propiedad. Finalmente, usaba los teléfonos móviles para realizar compras y extraer dinero de los cajeros de las correspondientes entidades bancarias de las víctimas.
Fraude millonario frustrado
La rápida actuación policial evitó que el fraude llegase a ser millonario y con miles de personas afectadas. Tanto es así, que en menos de un mes obtuvo los datos de más de 4.000 tarjetas bancarias. Según se desprende de las investigaciones, el estafador disponía de todos los recursos para desplegar el fraude por su cuenta y actuaba de forma solitaria, aunque los agentes conocieron que formaba parte de una comunidad virtual de la que obtenía consejos para delinquir sin ser descubierto.
Los policías registraron una habitación de un céntrico hotel de Valencia, que resultó ser el domicilio actual del supuesto autor. En este lugar, se intervinieron un total de 29 teléfonos, 56 tarjetas de prepago, 3.520 euros en efectivo, dos ordenadores portátiles y dos discos duros. El detenido, que carecía de antecedentes policiales, ingresó en prisión.
Recomendaciones
En este blog hemos alertado en innumerables ocasiones sobre campañas fraudulentas que utilizan el nombre, entre otros, de la Agencia Tributaria y Correos, así como de smishing, por lo que os sugerimos que nos añadáis a vuestros favoritos para estar informados sobre estas estafas y no caer en ellas.
Como pautas generales, recomendamos:
- No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
En Sophos creemos que la concienciación y formación es fundamental para detectar esta clase de de correos fraudulentos. Productos como Sophos Phish Threat simulan ataques de phishing para empleados pero de una forma segura, mostrando los trucos que utilizan los ciberdelincuentes pero sin que se produzcan daños reales si alguien cae en la trampa.
Dejar un comentario