21 de novembre de 2023.- La Guàrdia Civil ha procedit a la detenció a Barcelona de 2 persones i a la recerca d'altres 56. Esta intervenció ha permés desmantellar una organització criminal (radicada a Barcelona) dedicada al smishing bancari.
A 4 d'estes persones se li imputen els delictes de pertinença organització criminal i estafa i a les altres 54 el delicte d'estafa.
Els diners estafats a clients d'entitats financeres ascendeix a un total de 129.000 euros obtingut en 40 estafes. Estes víctimes resideixen a la província de Zamora i van denunciar els primers fets el mes de juny del 2022.
En el cas que ens ocupa, esta modalitat delictiva era dirigida cap a un grup concret de persones tots ells clients d'entitats financeres suplantades pels estafadors.
A partir d'ací comencen a utilitzar “enginyeria social”, combinen paquets de missatgeria i trucades telefòniques falses per a fer-se passar per una font legítima (entitat bancària) i sol·licitar informació confidencial, com a contrasenyes i nombres de comptes bancaris.
Estos paquets de missatgeria tenen per finalitat enganyar del client entenent aquest que prové de la seua entitat bancària, mitjançant informacions falses sota pretext d'accessos indeguts al seu compte, transferència de fons etc.…, alhora que adjunten un enllaç que hauria de redirigir-los a la suposada web del banc perquè solucionen el suposat problema.
Este SMS fals s'inclou en el grup de missatges SMS reals rebuts amb les notificacions de les autoritzacions de pagament en realitzar qualsevol tipus d'operació amb la citada entitat bancària.
El ciberdelinqüent té ja preparada tota la seua infraestructura que consisteix en el clonat de la web del banc en servidors preparats per a l'allotjament web i material informàtic que simula trucades telefòniques en nom de l'entitat financera.
Quan la víctima accedeix a través del fals enllaç (que li arriba juntament amb el missatge citat) li redirigeix a la web clonada del ciberdelinqüent (concretament la pàgina d'inici on s'introduïxen les contrasenyes, WEB SPOOFING) fent-se amb les claus d'accés dels usuaris.
Més tard es rep una trucada telefònica, apareixent en el mòbil dels perjudicats el número oficial de l'entitat bancària (CALL SPOOFING) informant (el ciberdelinqüent) del suposat problema que està succeint, sol·licitant les claus que li han sigut enviades a la víctima per SMS per a poder solucionar-ho.
Mitjançant este engany i facilitades les claus de l'operació és quan es consumisca l'estafa, transferint el ciberdelinqüent els fons, realitzant un BIZUM, compres ON-LINE, inversions en criptoactivos o transferències immediates.
En este cas, la majoria d'estos fons eren transferits a un compte bancari d'una altra tercera persona, que actua com a “mula bancària”, aquesta persona, al seu torn, transfereix els fons al ciberdelinqüent a canvi de contraprestació econòmica, que en alguns casos no és necessari perquè ha cedit el control dels seus comptes bancaris a l'estafador.
Esta operació policial va donar principi el mes de maig de 2023 amb el traspàs a l'Equip @ de la Comandància de Zamora de les primeres denúncies de zamorans que havien sigut víctimes d'esta estafa, en Benavente, investigant-se un total de 40 delictes.
Han sigut més de 200 operacions bancàries detectades i investigades com a fraudulentes, ascendint el total de la quantitat econòmica estafada a ms de 180.000 euros; aconseguint-se bloquejar part dels diners, per part de l'entitat bancària 51.000 euros i a instàncies de Guàrdia Civil 53.000€ per operacions fraudulentes.
Amb les dades obtingudes en les primeres recerques es va aconseguir identificara les denominades “mules bancàries” i posteriorment arribar als supòsits responsables d'una de les organitzacions criminals, que resideixen a la província de Barcelona.
Ha sigut un important desplegament policial realitzat per la Guàrdia Civil de Zamora i concretament per components de l'Equip @ i de l'O.O.P.J. i desenvolupat a les províncies Barcelona, Tarragona, Madrid, Granada, València, Huelva, Girona i Albacete, així com el registre domiciliari de 2 habitatges en la localitat barcelonina de Castellar del Vallés.
Este operatiu se salda amb la recerca de 56 persones com a suposats autors d'un o diversos delictes d'estafa i a dues d'elles per pertinença a organització criminal. Així mateix es va procedir a la detenció d'altres 2 persones com suposats autores dels delictes d'estafa i pertinença a organització criminal.
En el desenvolupament de l'operació es van realitzar 2 registres domiciliaris en la localitat de Castellar del Vallés a la província de Barcelona, on es va confiscar material informàtic per valor de milers d'euros.
Esta operació no està totalment conclosa i continuen part de les recerques tenint-se la previsió de la recerca de més persones per estos fets.
Tècnica “SMS SPOOFING”
Els clients reben massivament missatges SMS, suplantant al banc com a remitent d'aquests, mitjançant la tècnica coneguda com a “SMS SPOOFING”.
En ells s'alerta d'un accés no autoritzat als seus comptes i se'ls requereix la verificació immediata d'aquestes operacions a través d'un enllaç d'accés que els adreça a una pàgina web, idèntica a la del seu banc, que és controlada pels ciberdelinqüents per a apoderar-se de les dades d'accés als comptes bancaris.
Tècnica denominada “CALL- SPOOFING”
Com els delinqüents necessiten els codis de seguretat que el banc envia al mòbil del titular del compte per a autoritzar cada operació (per a usuaris amb doble factor d'autenticació), els estafadors utilitzen una nova tècnica denominada “CALLER ANEU SPOOFING”. D'esta manera, aconsegueixen suplantar el número de telèfon real de la sucursal bancària, cridant als perjudicats, als qui alerten de les operacions fraudulentes en el seu compte, i els sol·liciten els codis de seguretat que reben per SMS per a l'anul·lació de les suposades operacions, aconseguint així culminar l'engany i consumar l'estafa.
Consells per a evitar ser víctimes d'estes estafes
- No facilitar mai dades persones o bancaris via telefònica o a través de SMS. Les entitats bancàries mai sol·licitaran informació personal per estos mitjans.
- Si té sospita que una crida pot ser fraudulenta penge immediatament i cride vosté a la seua entitat bancària (atenció al client o la sucursal habitual).
- No facilitar mai contrasenyes per telèfon. Les entitats bancàries mai sol·licitaran este tipus d'informació per este mitjà.
- Utilitzar sempre les aplicacions oficials de les entitats bancàries. Mai accedir a la banca online a través d'enllaços continguts en SMS o correus electrònics.
“La Guàrdia Civil recomana a la ciutadania, la descàrrega de l'APP ALERTCOPS, per a posar-se en contacte en cas d'emergència amb els Centres Operatius de les Forces i Cossos de Seguretat De l'Estat.
L'app permet rebre en el mòbil, missatges d'avís, quan el mateix es trobe en una zona afectada per incidències.
Ja està disponible el botó S.O.St. de l'aplicació, per a víctimes de VIOGEN i personal sanitari.