En los últimos meses han aumentado de forma considerable los ataques de phishing, hasta el punto de que más de 10.000 usuarios españoles de banca electrónica han sido víctimas de este tipo de fraude online, según un estudio del Observatorio Español de Internet (OEI). En especial, los clientes de Caja Madrid y BBVA han sufrido numerosos intentos de estafa recientemente, que se unen a otros muchos habidos en el último año. El último, ha sido dirigido a los clientes de La Caixa, con la novedad de que permite el fax como medio para verificar los datos bancarios del internauta.
El timo del phishing consiste en el envío masivo de correos electrónicos que simulan ser comunicados de una entidad bancaria. Con algún pretexto -motivos de seguridad, actualización de la base de datos, etc.- apremian al internauta a introducir información personal (contraseñas, número de tarjeta de crédito…) o le invitan a seguir un enlace a una web igualmente falsa donde capturar sus datos. Este fraude se ha ido sofisticando: mediante el pharming los ciberdelicuentes utilizan un código malicioso capaz de suplantar el sistema de resolución de nombres de dominio (DNS); es decir, la URL (dirección de la página web) es exactamente igual a la auténtica.
Timos móviles
Una variante del phishing igual de perniciosa consiste en utilizar páginas web falsas para robar datos a los usuarios que pretenden recargar su móvil online. Recientemente la Asociación de Internautas (AI) detectó la presencia de una web, recargatusaldo.com (que a su vez enlazaba con http://usuarios.lycos.es/enviaform), que tras una apariencia de «portal profesional» escondía trampa.
«En la web solicitan datos que no son necesarios para realizar ninguna compra por Internet, como por ejemplo el PIN (el código personal de la tarjeta de débito o crédito)», afirma la AI. Este punto, unido a que no se envían los datos a través de una conexión segura (la dirección comienza por https://) debieran bastar para hacer sospechar a los internautas.
No se trata de un caso aislado. La AI, enfrascada en una campaña anti-phishing, ya ha advertido de al menos otros tres sitios web (www.recarga-t.org, www.recarga-prepago.com y http://recargas-express.com) que utilizan el gancho de la recarga de móviles para tratar de hacerse con datos bancarios.
La primera web-trampa trata de embaucar a los internautas con un gancho bastante sospechoso: al recargar el celular prepago ofrece un 50% de regalo («Paga 20 euros y te recargamos 30 euros!!»). Además, aseguran que las recargas se realizan mediante un «servidor seguro», algo que se puede comprobar (mediante el navegador) que no es cierto. El formulario es tan falso que se pueden introducir letras en los campos numéricos y ni siquiera es necesario aceptar las condiciones. Para rematar la faena, tras introducir todos los datos bancarios y pinchar en «Realizar Recarga» nunca se puede completar la operación por problemas técnicos (pero los datos habrán caído en manos de los estafadores).
De la misma forma, en www.recarga-prepago.com se solicitan todos los datos bancarios además del número de móvil y a la postre el servicio no funciona. Y para dotar de autenticidad a la página se presentan las «entidades bancaria colaboradoras» e incluso se facilita el nombre de la empresa «Recargas-prepago.com S.A.» junto a un número 902.
«Aunque muchos internautas piensen que es poco probable que alguien facilite sus datos, por desgracia es todo lo contrario; hoy en día es algo muy común que ocurra este hecho y además con unos porcentajes bastantes grandes, por eso se da el ataque masivo de phishing bancario.», asegura la AI.
Engañar a los buscadores
Existen muchas formas para conducir a los internautas hacia estas web-trampa. En el caso del phishing para cazar clientes de banca electrónica, se emplea el envío masivo de mensajes fraudulentos, pues es complicado que el usuario llegue a la web falsa por otro camino. Para las recargas de móviles, sin embargo, además del spam se intenta que las páginas aparezcan bien situadas en los resultados de búsqueda, colocando palabras ocultas en la página que el internauta no ve pero sí el robot de búsqueda.
Así, da igual que se busque ‘mp3’, ‘programas gratis’ o cualquier otro término habitual para que pueda aparecer una página de «recarga de móviles», que intentará atrapar al usuario que no tenía intención de recargar la tarjeta de su celular con algún gancho.
Pero la última web falsa detectada con la AI, http://recargas-express.com, «riza el rizo», según la Asociación: «La mayoría de las veces este tipo de webs son dadas a conocer en los buscadores o por medio de ‘phishing’; en este caso formaba parte de los patrocinadores de Google y se anunciaba como página de recargas de Terra». Esta página anuncia que «permite recargar la tarjeta prepago de su móvil, o de cualquier otro, esté donde esté. Basta con teclear sus datos y el importe a recargar».
La Asociación de Internautas (AI) recomienda que se tenga “mucha precaución cuando se realice cualquier tipo pago online”, así como “comprobar que el sitio web donde se realizan sea de confianza”:
- Compre en páginas donde se identifique el vendedor.
- Compruebe los plazos de entrega del producto o realización del servicio.
- Antes de dar los datos de su tarjeta de crédito, compruebe que es una página segura.
Además, dentro de la campaña ‘Seguridad en la Red’, ofrece una serie de Normas de Seguridad para acceder a la banca por Internet.
Asimismo, el Centro de Alerta Antivirus cuenta con una página dedicada al fraude en la Red y otra específica sobre el ‘Fraude financiero‘ con definición de términos, técnicas empleadas, consejos para prevenirlo, etc.). También ha publicado unas ‘normas para evitar el phishing‘:
- No atienda a correos electrónico escritos en idiomas que no hable: su entidad financiera no se dirigirá a Ud. en ese idioma si antes no lo han pactado previamente.
- No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos íntimos o que afecten a su seguridad.
- No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva.
- No atienda a correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
- No atienda a correos de los que sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.