El departament de comunicació de Barclays ha explicat a l'ACN que efectivament 'han detectat un increment de les estafes informàtiques'. Asseguren que ja s'han pres 'mesures a nivell de seguretat i s'ha informat a tots els clients'. Titllen l'augment de les estafes de 'petita onada' i subratllen que en aquests casos la responsabilitat és de l'usuari que 'imprudentment' facilita els seus codis de seguretat.
L'estafa patida va tenir lloc així: P.S. va connectar-se amb el seu ordinador portàtil al web oficial del banc Barclays. Per poder consultar el seu compte corrent va introduir el seu nom d'usuari i la seva contrasenya. Mentre es carregava va aparèixer una finestra, identificada amb símbols de Barclays. Aquesta l'instava a introduir els codis de seguretat de la seva targeta perquè estaven 'millorant la seguretat' de la connexió. P.S., que no podia tancar aquesta finestra si no obeïa les seves indicacions, va accedir i va introduir els seus codis.
No és un cas clàssic de 'phising' ja que aquesta vegada la víctima sembla haver estat redirigida cap a un web fraudulent una cop ja es trobava dins l'oficial de 'Barclays'. El fet que la finestra hagi aparegut després d'haver introduït el seu nom i contrasenya al web de l'entitat suposa un pas més que els ciberdelinqüents guanyen als sistemes de seguretat dels bancs.
Un dia després va rebre una carta del banc que aconsellava ser cautelós davant una estafa consistent en demanar online els dígits de seguretat. S'havia detectat un increment d'aquesta modalitat de 'phising' i es recordava als usuaris que el banc no demanarà mai més d'un codi de seguretat. Alertat per la carta P.S. va consultar el seu compte i va descobrir que s'havia realitzat una transferència bancària de quasi 3.000 euros a una tal Sandra Valencia, a una seu de Caja Madrid a Màlaga.
L'entitat bancària diu que no és un problema de seguretat del seu web i afirma que l'origen de l'estafa rau en un virus 'troiano' que conté l'ordinador portàtil de P.S. L'auditoria de seguretat realitzada per un expert ha descartat però aquesta possibilitat. P.S. ja ha denunciat els fets als Mossos d'Esquadra i ha iniciat accions legals per esclarir si l'entitat ha de respondre dels diners sostrets.
Què és el 'phising'?
El 'phising' és una estafa informàtica. El ciberdelinqüent es fa passar per una empresa o institució de confiança i, a través d'Internet, intenta enredar la víctima perquè aquesta li faciliti informació confidencial necessària per sostreure diners.
Segons l''Instituto Nacional de Tecnologías de la Comunicación (INTECO), el canal més utilitzat pels delinqüents per 'pescar' una víctima és el correu electrònic. Els SMS i les trucades telefòniques no són els mecanismes més habituals. Mitjançant l'enviament indiscriminat de mails aconsegueixen que algunes persones caiguin en el parany. Els correus inclouen un 'link' que, sovint, condueixen a una pàgina construïda per semblar el web oficial d'una entitat bancària.
Dades de l'Instituto mostren que a l'Estat espanyol van produir-se l'any 2008 1.846 casos de phising. En els primers nou mesos de l'any 2009 ja se'n van detectar 1.959. Aquestes xifres diuen que l'activitat d'aquests estafadors 'es manté a l'alça', explica José Luís Santos, cap de la unitat de delictes tecnològics de la Policia estatal. Malgrat tot, sis de cada deu ciutadans de l'Estat, segons l'INTECO, confien en les transaccions bancàries online.
Santos remarca que no es coneix amb exactitud la quantitat d'estafes de 'phising' que tenen lloc a l'Estat espanyol. Moltes vegades els usuaris no denuncien els fets perquè els bancs sí es fan càrrec de l'estafa i per tant recuperen els diners perduts. Segons diu Santos, 'el més habitual és que l'entitat bancària torni els diners a la víctima'. El policia matisa però que 'alguns bancs i caixes ja no ho fan perquè entenen que cal responsabilitzar l'usuari'.
Una estafa molt elaborada
En realitat la víctima, a través del 'link', ha estat conduïda a una pàgina que simula ser la oficial de l'entitat bancària. Allà se si li demana que introdueixi tots els codis de seguretat de la seva targeta perquè 'estan millorant el sistema'. Si la persona les dóna, obra les portes del seu compte corrent al ciberdelinqüent. Llavors entra en acció la 'mula'.
L'hora de la 'mula'
Dies abans els estafadors ja han preparat el terreny per l'estafa. També a través d'un enviament massiu de correus electrònics han aconseguit enganyar altres persones que faran d'intermediaris. Aquests mails ofereixen una feina massa sospitosa, cap esforç i una bona recompensa.
La 'mula' ha de facilitar les seves dades personals i un compte corrent. Rebrà un ingrés d'uns 3.000 euros i la seva tasca serà reintegrar-los en un caixer i enviar-los per la Western Union a l'estranger, 'gairebé sempre a Rússia o Ucraïna', subratlla Santos. A canvi es cobren una petita comissió que varia segons els casos. Els estafadors arriben a prometre a la 'mula' que serà donada d'alta a la Seguretat Social i inclús creen webs que poden visitar-se per simular l'autenticitat de l'empresa que acaba de contractar-la. La ignorància de la 'mula' no evita però que alguns jutges ja hagin dictat sentències condemnatòries cap a aquestes persones.
Els diners que sostreuen a la víctima no acostumen a sobrepassar els 3.000 euros. Quan una transacció bancària supera aquesta quantitat, bancs i caixes han de comunicar-la al Banc d'Espanya, i això ho saben bé els ciberdelinqüents, que prefereixen repetir l'operació diverses vegades que augmentar el volum de guanys en una sola estafa.
Estafen 3.000 € a un gironí a través de la tècnica del 'phishing' a Internet
L'usuari creia que utilitzava la pàgina oficial del banc Barclays quan en realitat era un site fals per robar-li les dades
