21 de novembre de 2023.- La Guàrdia Civil ha procedit a la detenció a Barcelona de 2 persones i a la recerca d'altres 56. Aquesta intervenció ha permès desmantellar una organització criminal (radicada a Barcelona) dedicada al smishing bancari.
A 4 d'aquestes persones se li imputen els delictes de pertinença organització criminal i estafa i a les altres 54 el delicte d'estafa.
Els diners estafats a clients d'entitats financeres ascendeix a un total de 129.000 euros obtingut en 40 estafes. Aquestes víctimes resideixen a la província de Zamora i van denunciar els primers fets el mes de juny del 2022.
En el cas que ens ocupa, aquesta modalitat delictiva era dirigida cap a un grup concret de persones tots ells clients d'entitats financeres suplantades pels estafadors.
A partir d'aquí comencen a utilitzar “enginyeria social”, combinen paquets de missatgeria i trucades telefòniques falses per a fer-se passar per una font legítima (entitat bancària) i sol·licitar informació confidencial, com a contrasenyes i nombres de comptes bancaris.
Aquests paquets de missatgeria tenen per finalitat enganyar del client entenent aquest que prové de la seva entitat bancària, mitjançant informacions falses sota pretext d'accessos indeguts al seu compte, transferència de fons etc.…, alhora que adjunten un enllaç que hauria de redirigir-los a la suposada web del banc perquè solucionin el suposat problema.
Aquest SMS fals s'inclou en el grup de missatges SMS reals rebuts amb les notificacions de les autoritzacions de pagament en realitzar qualsevol tipus d'operació amb la citada entitat bancària.
El ciberdelinqüent té ja preparada tota la seva infraestructura que consisteix en el clonat de la web del banc en servidors preparats per a l'allotjament web i material informàtic que simula trucades telefòniques en nom de l'entitat financera.
Quan la víctima accedeix a través del fals enllaç (que li arriba juntament amb el missatge citat) li redirigeix a la web clonada del ciberdelinqüent (concretament la pàgina d'inici on s'introdueixen les contrasenyes, WEB SPOOFING) fent-se amb les claus d'accés dels usuaris.
Més tard es rep una trucada telefònica, apareixent en el mòbil dels perjudicats el número oficial de l'entitat bancària (CALL SPOOFING) informant (el ciberdelinqüent) del suposat problema que està succeint, sol·licitant les claus que li han estat enviades a la víctima per SMS per a poder solucionar-ho.
Mitjançant aquest engany i facilitades les claus de l'operació és quan es consumeixi l'estafa, transferint el ciberdelinqüent els fons, realitzant un BIZUM, compres ON-LINE, inversions en criptoactivos o transferències immediates.
En aquest cas, la majoria d'aquests fons eren transferits a un compte bancari d'una altra tercera persona, que actua com a “mula bancària”, aquesta persona, al seu torn, transfereix els fons al ciberdelinqüent a canvi de contraprestació econòmica, que en alguns casos no és necessari perquè ha cedit el control dels seus comptes bancaris a l'estafador.
Aquesta operació policial va donar principi el mes de maig de 2023 amb el traspàs a l'Equip @ de la Comandància de Zamora de les primeres denúncies de zamorans que havien estat víctimes d'aquesta estafa, en Benavente, investigant-se un total de 40 delictes.
Han estat més de 200 operacions bancàries detectades i investigades com a fraudulentes, ascendint el total de la quantitat econòmica estafada a ms de 180.000 euros; aconseguint-se bloquejar part dels diners, per part de l'entitat bancària 51.000 euros i a instàncies de Guàrdia Civil 53.000€ per operacions fraudulentes.
Amb les dades obtingudes en les primeres recerques es va aconseguir identifiqués les denominades “mules bancàries” i posteriorment arribar als supòsits responsables d'una de les organitzacions criminals, que resideixen a la província de Barcelona.
Ha estat un important desplegament policial realitzat per la Guàrdia Civil de Zamora i concretament per components de l'Equip @ i de l'O.O.P.J. i desenvolupat a les províncies Barcelona, Tarragona, Madrid, Granada, València, Huelva, Girona i Albacete, així com el registre domiciliari de 2 habitatges en la localitat barcelonina de Castellar del Vallés.
Aquest operatiu se salda amb la recerca de 56 persones com a suposats autors d'un o diversos delictes d'estafa i a dues d'elles per pertinença a organització criminal. Així mateix es va procedir a la detenció d'altres 2 persones com suposats autores dels delictes d'estafa i pertinença a organització criminal.
En el desenvolupament de l'operació es van realitzar 2 registres domiciliaris en la localitat de Castellar del Vallés a la província de Barcelona, on es va confiscar material informàtic per valor de milers d'euros.
Aquesta operació no està totalment conclosa i continuen part de les recerques tenint-se la previsió de la recerca de més persones per aquests fets.
Tècnica “SMS SPOOFING”
Els clients reben massivament missatges SMS, suplantant al banc com a remitent d'aquests, mitjançant la tècnica coneguda com a “SMS SPOOFING”.
En ells s'alerta d'un accés no autoritzat als seus comptes i se'ls requereix la verificació immediata d'aquestes operacions a través d'un enllaç d'accés que els adreça a una pàgina web, idèntica a la del seu banc, que és controlada pels ciberdelinqüents per a apoderar-se de les dades d'accés als comptes bancaris.
Tècnica denominada “CALL- SPOOFING”
Com els delinqüents necessiten els codis de seguretat que el banc envia al mòbil del titular del compte per a autoritzar cada operació (per a usuaris amb doble factor d'autenticació), els estafadors utilitzen una nova tècnica denominada “CALLER ANEU SPOOFING”. D'aquesta manera, aconsegueixen suplantar el número de telèfon real de la sucursal bancària, cridant als perjudicats, als qui alerten de les operacions fraudulentes en el seu compte, i els sol·liciten els codis de seguretat que reben per SMS per a l'anul·lació de les suposades operacions, aconseguint així culminar l'engany i consumar l'estafa.
Consells per a evitar ser víctimes d'aquestes estafes
- No facilitar mai dades persones o bancaris via telefònica o a través de SMS. Les entitats bancàries mai sol·licitaran informació personal per aquests mitjans.
- Si té sospita que una crida pot ser fraudulenta pengi immediatament i cridi vostè a la seva entitat bancària (atenció al client o la sucursal habitual).
- No facilitar mai contrasenyes per telèfon. Les entitats bancàries mai sol·licitaran aquest tipus d'informació per aquest mitjà.
- Utilitzar sempre les aplicacions oficials de les entitats bancàries. Mai accedir a la banca online a través d'enllaços continguts en SMS o correus electrònics.
“La Guàrdia Civil recomana a la ciutadania, la descàrrega de l'APP ALERTCOPS, per a posar-se en contacte en cas d'emergència amb els Centres Operatius de les Forces i Cossos de Seguretat De l'Estat.
L'app permet rebre en el mòbil, missatges d'avís, quan el mateix es trobi en una zona afectada per incidències.
Ja està disponible el botó S.O.St. de l'aplicació, per a víctimes de VIOGEN i personal sanitari.