21 de novembro de 2023.- A Garda Civil ha procedido á detención en Barcelona de 2 persoas e á investigación doutras 56. Esta intervención permitiu desmantelar unha organización criminal (radicada en Barcelona) dedicada ao smishing bancario.
A 4 destas persoas impútanselle os delitos de pertenza organización criminal e estafa e ás outras 54 o delito de estafa.
O diñeiro estafado a clientes de entidades financeiras ascende a un total de 129.000 euros obtido en 40 estafas. Estas vítimas residen na provincia de Zamora e denunciaron os primeiros feitos no mes de xuño do 2022.
No caso que nos/nos ocupa, esta modalidade delituosa era dirixida cara a un grupo concreto de persoas todos eles clientes de entidades financeiras suplantadas polos estafadores.
A partir de aquí empezan a utilizar “enxeñaría social”, combinan paquetes de mensaxería e chamadas telefónicas falsas para facerse pasar por unha fonte lexítima (entidade bancaria) e solicitar información confidencial, como contrasinais e números de contas bancarias.
Estes paquetes de mensaxería teñen por finalidade enganar ao cliente entendendo este que provén da súa entidade bancaria, mediante informacións falsas baixo pretexto de accesos indebidos á súa conta, trasferencia de fondos etc.…, á vez que achegan unha ligazón que debería redireccionarles á suposta web do banco para que solucionen o suposto problema.
Este SMS falso inclúese no grupo de mensaxes SMS reais recibidos coas notificacións das autorizacións de pago ao realizar calquera tipo de operación coa citada entidade bancaria.
O ciberdelincuente ten xa preparada toda a súa infraestrutura que consiste no clonado da web do banco en servidores preparados para o aloxamento web e material informático que simula chamadas telefónicas en nome da entidade financeira.
Cando a vítima accede a través da falsa ligazón (que lle chega xunto con a mensaxe citada) le redirecciona á web clonada do ciberdelincuente (concretamente a páxina de inicio onde se introducen os contrasinais, WEB SPOOFING) facéndose coas claves de acceso dos usuarios.
Máis tarde recíbese unha chamada telefónica, aparecendo no móbil dos prexudicados o número oficial da entidade bancaria (CALL SPOOFING) informando (o ciberdelincuente) do suposto problema que está a suceder, solicitando as claves que lle foron enviadas á vítima por SMS para poder solucionar.
Mediante este engano e facilitadas as claves da operación é cando se consuma a estafa, transferindo o ciberdelincuente os fondos, realizando un BIZUM, compras EN LIÑA, investimentos en criptoactivos ou trasferencias inmediatas.
Neste caso, a maioría destes fondos eran transferidos a unha conta bancaria doutra terceira persoa, que actúa como “mula bancaria”, esta persoa, á súa vez, transfire os fondos ao ciberdelincuente a cambio de contraprestación económica, que nalgúns casos non é necesario porque cedeu o control das súas contas bancarias ao estafador.
Esta operación policial deu comezo no mes de maio de 2023 co traspaso ao Equipo @ do Comandancia de Zamora das primeiras denuncias de zamoranos que foran vítimas desta estafa, en Benavente, investigándose un total de 40 delitos.
Foron máis de 200 operacións bancarias detectadas e investigadas como fraudulentas, ascendendo o total da cantidade económica estafada a ms de 180.000 euros; lográndose bloquear parte do diñeiro, por parte da entidade bancaria 51.000 euros e a instancia de Garda Civil 53.000€ por operacións fraudulentas.
Cos datos obtidos nas primeiras investigacións logrouse identificase as denominadas “mulas bancarias” e posteriormente chegar aos supostos responsables dunha das organizacións criminais, que residen na provincia de Barcelona.
Foi un importante despregamento policial realizado pola Garda Civil de Zamora e concretamente por compoñentes do Equipo @ e da Ou.Ou.P.J. e desenvolvido nas provincias Barcelona, Tarragona, Madrid, Granada, Valencia, Huelva, Xirona e Albacete, así como o rexistro domiciliario de 2 vivendas na localidade barcelonesa de Castellar do Vallés.
Este operativo sáldase coa investigación de 56 persoas como supostos autores dun ou varios delitos de estafa e a dúas delas por pertenza a organización criminal. Así mesmo procedeuse á detención doutras 2 persoas como supostos autoras dos delitos de estafa e pertenza a organización criminal.
No desenvolvemento da operación realizáronse 2 rexistros domiciliarios na localidade de Castellar do Vallés na provincia de Barcelona, onde se incautou material informático por valor de miles de euros.
Esta operación non está totalmente concluída e continúan parte das investigacións téndose a previsión da investigación de máis persoas por estes feitos.
Técnica “SMS SPOOFING”
Os clientes reciben masivamente mensaxes SMS, suplantando ao banco como remitente dos mesmos, mediante a técnica coñecida como “SMS SPOOFING”.
Neles alértase dun acceso non autorizado ás súas contas e requíreselles a verificación inmediata das estas operacións a través dunha ligazón de acceso que lles direcciona a unha páxina web, idéntica á do seu banco, que é controlada polos ciberdelincuentes para apoderarse dos datos de acceso ás contas bancarias.
Técnica denominada “CALL- SPOOFING”
Como os delincuentes necesitan os códigos de seguridade que o banco envía ao móbil do titular da conta para autorizar cada operación (para usuarios con dobre factor de autenticación), os estafadores utilizan unha nova técnica denominada “CALLER ID SPOOFING”. Desta maneira, logran suplantar o número de teléfono real da sucursal bancaria, chamando aos prexudicados, a quen alertan das operacións fraudulentas na súa conta, e solicítanlles os códigos de seguridade que reciben por SMS para a anulación das supostas operacións, conseguindo así culminar o engano e consumar a estafa.
Consellos para evitar ser vítimas destas estafas
- Non facilitar nunca datos compareces ou bancarios vía telefónica ou a través de SMS. As entidades bancarias nunca solicitarán información persoal por estes medios.
- Se ten sospeita que unha chamada pode ser fraudulenta colgue inmediatamente e chame vostede á súa entidade bancaria (atención ao cliente ou a sucursal habitual).
- Non facilitar nunca contrasinais por teléfono. As entidades bancarias nunca solicitarán este tipo de información por este medio.
- Utilizar sempre as aplicacións oficiais das entidades bancarias. Nunca acceder á banca en liña a través de ligazóns contidas en SMS ou correos electrónicos.
“A Garda Civil recomenda á cidadanía, a descarga da APP ALERTCOPS, para porse en contacto en caso de emerxencia cos Centros Operativos das Forzas e Corpos de Seguridade Do Estado.
A app permite recibir no móbil, mensaxes de aviso, cando o mesmo se atope nunha zona afectada por incidencias.
Xa está dispoñible o botón S.Ou.S. da aplicación, para vítimas de VIOGEN e persoal sanitario.