Si realizas transacciones financieras por Internet o piensas hacerlo debes tener muy en cuenta tu seguridad.
¿Eres consciente de todos los tipos de fraude electrónico que existen? ¿Sabes cómo moverte por internet para realizar operaciones online sin correr riesgos?
Ante las malas prácticas hay un gran antídoto que es la información.
Cuanto más y mejor informado estés, más fácil te resultará reconocer situaciones potencialmente peligrosas y actuar en consecuencia.
Solo para que lo sepas, el Código Penal ya da cobertura y nos protege ante este tipo de vulnerabilidades informáticas.
Principales tipos de fraude electrónico
A continuación, te explicamos uno por uno en qué consisten los principales fraudes electrónicos y cómo protegerte ante ellos.
Lo más importante es que navegues siempre con precaución y tengas muy claro en qué webs estás introduciendo tu información más sensible.
Phishing
Este término proviene de la palabra inglesa «fishing» (pesca), y haciendo alusión al fraude conseguimos el significado «pescar al usuario«.
La idea es engañarnos para poder obtener, en la mayoría de los casos, usuarios/contraseñas y datos bancarios, utilizando webs falsas
El phishing es una de las estafas más habituales a través de la cual los estafadores buscan hacerse con nuestras claves bancarias y datos personales.
Esta estafa se camufla bajo un correo electrónico enviado, supuestamente, por nuestro banco.
En este correo se nos pide que accedamos al área de cliente de la web del banco para actualizar nuestros datos, participar en promociones especiales o mejorar tu seguridad (irónico, ¿verdad?).
Previamente los ciberdelincuentes habrán preparado una web fraudulenta con un diseño exacto al de la web real de nuestro banco para engañarnos.
Una vez accedemos a la “web anzuelo” se nos pedirá introducir nuestras claves de acceso, el número de nuestra tarjeta bancaria y otros datos personales y confidenciales.
Al hacerlo, el estafador registrará estos datos y los utilizará para suplantar nuestra identidad, actuar en nuestro nombre –sin dejar rastro– y realizar operaciones sin nuestro consentimiento.
Además, suelen hacerlo en cuestión de minutos, por lo que nuestro margen de actuación es muy reducido.
Es muy importante que tengas claro que una entidad bancaria nunca te solicitará tus datos por correo electrónico o SMS.
Aseguraos siempre de la URL a la que váis, del certificado de seguridad que tiene, no pinchéis enlaces porque sí.
Y en caso de duda contactad con el propio banco, o los cuerpos del estado para consultar autenticidad de esa página.
Vishing
La palabra vishing nace de la unión de voice y phishing.
Este fraude informático de nuevo cuño busca suplantar la identidad del usuario legítimo a través de VoIP, que significa Voz a través de la IP.
Para ello recrea una voz automatizada similar a los contestadores que utilizan las entidades bancarias para realizar o atender llamadas.
El procedimiento más generalizado suele ser el siguiente: recibimos una llamada confirmando una compra realizada con una de nuestras tarjetas de crédito y que en realidad no hemos hecho.
Si contestamos al teléfono, el “supuesto” interlocutor intentará “cancelar” la compra fraudulenta.
Para ello nos pedirán los datos personales (número de tarjeta, SMS de confirmación, token digital...) necesarios para acceder a nuestra banca electrónica y poder actuar de forma fraudulenta en nuestro nombre.
Smishing
Esta una versión en SMS derivada del phishing y parecida al vishing.
Mediante un mensaje de texto o un mensaje de WhatsApp se nos comunica que se ha realizado una compra sospechosa con nuestra tarjeta de crédito.
En el mensaje se facilita el supuesto número de teléfono con el que contactar con el banco.
En el momento en que realizamos la llamada, y como en los casos anteriores, se nos solicitará la información “necesaria” para proceder a cancelar la compra y acceder de manera rápida y limpia a todos los datos que necesitan para operar a sus anchas con nuestro dinero.
Una vez más, recuerda como si fuera un mantra que ninguna entidad financiera solicita por teléfono a sus clientes datos sensibles de ser utilizados en este tipo de fraudes online y que los canales verificados de las entidades financieras son los únicos que debemos usar en para realizar operaciones.
Pharming
El pharming es un tipo de fraude electrónico muy parecido al phishing, sólo que en este caso se manipula el tráfico legal de un sitio web hacia sitios web falsos, aunque similares en apariencia.
Estas copias de la web afectada instalarán un software malicioso en los equipos de los usuarios que accedan a ellos que se apropiarán de los datos personales de los usuarios como sus contraseñas o incluso de sus datos bancarios.
Generalmente, el pharming tiene dos vertientes:
• Ataque a los usuarios. Los ciberdelincuentes instalan algún tipo de virus o malware en el equipo de sus víctimas.
Este virus redirige el equipo elegido como víctima desde el sitio que quiere visitar (entidad financiera, ecommerce, etc...) para mandarlo a otro con apariencia similar, pero que en realidad es falso.
• Ataque a la entidad. El hacker infecta todo el servidor DNS consiguiendo que todos los usuarios de este sitio web sean redirigidos al sitio falso de forma automática.
Este tipo de fraude es de alto riesgo, ya que si el hacker lo hace bien es casi imposible para el cliente diferenciar el sitio que sirve como anzuelo del original.
Para comprobar que estás navegando en una web segura, estos son algunos consejos que puedes (y debes) seguir.
• Comprobar que la URL del sitio está bien escrita y coincide con la legítima.
• Comprobar que la URL incluye el “https” que marca que el sitio web es seguro.
• Asegurar que nuestro proveedor de servicios de internet tiene sistemas de filtrado de redireccionamientos falsos.
• Contar con un potente antivirus que detecte y elimine el malware de nuestros equipos.
• Consultar páginas que sean de confianza.
Sim swapping
El sim swapping no es otra cosa que el duplicado de la tarjeta SIM.
Según datos de Panda Security, al año se roban alrededor de 300.000 móviles, o lo que es lo mismo, 30 teléfonos cada hora.
Aunque es un negocio aparentemente simple, puede no serlo tanto.
Dicho de otro modo, el verdadero problema cuando nos roban nuestro teléfono no es que el ladrón vaya a vender nuestro móvil por unos euros, sino el hacker para el que podría estar trabajando.
¿Por qué duplicar nuestra tarjeta SIM es tan rentable?
Con la copia de la tarjeta se puede acceder a la información personal de la tarjeta SIM e incluso utilizarla para verificar vía móvil operaciones bancarias hechas por internet.
Los vendedores de las tiendas de telefonía están advertidos de la existencia de estas prácticas, lo que no significa que debamos bajar la guardia, porque los hackers pueden utilizar métodos ilegales para conseguir nuestros datos.
Nuevamente, contar con un buen antivirus, antimalware o antispyware en el móvil es una medida de seguridad que debes seguir.
Otros consejos para evitar este tipo de estafa electrónica son:
• Usar una contraseña adicional o la doble autenticación para las operaciones financieras que realicemos.
• Evitar compartir información personal en internet en la medida de lo posible.
Además, en caso de sufrir un ataque de este tipo, hay una serie de pasos a seguir:
• Llamar al operador para bloquear la tarjeta SIM.
Además, si aportas el número IMEI de tu móvil (aparece en la caja), podrás impedir que hagan llamadas y accedan a tus aplicaciones con tu smartphone.
• Presentar una denuncia en la Policía.
• Mandar la denuncia a nuestro operador de telefonía móvil.
• Buscarlo con el localizador.
• Cambiar todas y cada una de las contraseñas que se puedan ver comprometidas.
Ataques scam
Bajo este nombre se agrupan aquellas conductas que conocemos como estafas comunes.
Un ataque scam generalmente comienza con el envío de un correo electrónico que busca engañar al receptor del mensaje. Los ganchos más comunes consisten en ofrecer un beneficio monetario a cambio de realizar un ingreso en una cuenta corriente.
Este tipo de estafa electrónica no es nuevo pero, tristemente, sigue encontrando usuarios que terminan siendo engañados y estafados.
«¡Has ganado un crucero por el Mediterráneo!, pulsa en el siguiente enlace para canjearlo.»
«Has sido el ganador del tercer premio en nuestro concurso, y el premio es de 1000€/$, pulsa en el siguiente enlace y rellena tus datos para recibir el premio»
«Hola soy Juanita, estoy buscando un hombre fornido en España para tener una familia, soy servicial y quiero tener niños» (te envía fotos también, donde la chica no está nada mal)
«Pone Nigeria en cualquier sitio»
Estos son casos de Scam. El objetivo es ganarse nuestra confianza para obtener información privada, mediante técnicas como las siguientes:
.- Realizar un ingreso en Western Unión para que la chica pueda viajar a España.
.- Un ingreso previo para recoger el premio.
.- Pedirnos el correo electrónico para que nos puedan meter en sus 300 servidores de envio de 300 SPAM (sin que lo sepamos)
.- De Nigeria cualquier cosa; ayudar a sacar del país 30 millones de dólares con un 20% para nosotros. Anticipas dinero para el pago de......
Engaño es la palabra que define al Scam.
Marcad estos emails como SPAM, de manera que vuestros clientes de correo aprendan cada vez más y así conseguiremos un mundo sin SPAM.
Triangulación
Imaginemos una tienda que ofrece una gran oferta en un producto, esta además ha adquirido ilegalmente numeración de tarjetas robadas.
Un cliente inocente compra un producto en la tienda pirata, esta utiliza una tarjeta robada para comprar el mismo producto en una tienda legal y en los datos de entrega pone los del cliente inocente.
Quien a su vez recibe el producto sin saber que ha sido víctima de una estafa, además para la tienda legal el estafador es la víctima inocente, ya que es el que recibe el producto y el que ha realizado la compra.
Botnets
Son robots informaticos que se instalan en nuestros ordenadores ya sea mediante un correo spam, o malware instalado en alguna descarga.
Aquí el estafador suele estar en un país “exótico”.
Estos países tienen vetada la compra online en infinidad de sitios por la cantidad de fraude que cometen, por lo que utilizan nuestra IP e información del ordenador para que parezca que la compra se realiza de un país permitido.
Este fraude se suele hacer en comercios de ticketing ya que no es necesario enviar ningún bien, y el rastro es más difícil de seguir.
Para asustar un poco decir que hay más de 3 millones de zombies botnets en todo el mundo.
Re-shipping
Aquí hay un defraudador que tiene tarjetas robadas, hace compras en comercios.
Para que no les pillen en el fraude utilizan mulas, que son personas que recepcionan la mercancía a cambio de una comisión.
Estas mulas a la vez reenvían la mercancía al defraudador.
Fraude de afiliación
Se basa en programas de afiliación y hay dos tipos, uno en los que el comercio y el programa de afinación tienen relación y otros en el que no.
Es muy sencillo, te lanzan una campaña de muchos productos a un descuento muy bueno, imitando a los programas de afiliación más conocidos, pero el programa de afiliación es falso, si los comercios están involucrados se reparten las ganancias.
Si no lo están también son victimas pudiéndoles hacer hasta un buen quebranto.
Robo de identidad
Imaginemos.
Estamos tranquilamente en nuestra habitación de un hotel, nos llaman de recepción “Buenas tardes señor le llamo desde recepción, ha habido un problema en el check-in, nos faltan sus datos de su DNI... me puede confirmar el nombre.... y el nº de tarjeta con la que realizo la reserva”.
Bueno como podrás imaginar esta llamada no la hicieron el personal de recepción.
Pues esto se puede llevar al mundo online.
Fraude amigo
También he comentado este fraude en alguna ocasión.
Recibimos una compra, a priori todo correcto entregamos la mercancía y ...¡¡¡SORPRESA!!!
A los pocos días recibimos una devolución, nos extrañamos porque no vimos nada raro, nos preguntamos qué ha pasado.
Pues sencillamente que nuestro cliente ha declarado la compra como fraudulenta en su banco, aunque en realidad fue el quien hizo la compra.
Account takeover
Es cuando el estafador obtiene datos de un usuario o un cliente en un e-commerce, toman el control de su cuenta y cambian algunos datos de la misma para poder realizar el fraude.
Los más frecuentes son:
Cambios de la dirección, añadir nueva dirección de envió, cambiar la dirección de e-mail, cambiar numero de teléfono.
Clean fraud
Es cuando los datos de la cuenta son correctos, no hay historial negativo del usuario, la tarjeta cumple todos los protocolos de seguridad, la tarjeta no tiene ningún historial negativo, los datos de la IP son correctos.
Todo indica que no hay fraude, todo encaja, todo parece bueno...pero el fraude se produce.
Este fraude es muy sofisticado y se utiliza principalmente para bienes de lujo ya que requiere una inversión muy grande para el estafador
“Una forma molt personal d’entendre les empreses i els emprenedors”
Llav@-neres
Assessoria i Gestió