Con la pandemia de la COVID-19, el mayor aislamiento social y mayor uso de la tecnología y las redes para seguir conectados, los estafadores han aprovechado para especializar sus timos electrónicos con falsos mensajes relacionados con el bloqueo de cuentas, descarga de material relacionado con el virus, promociones en supermercados, envío de notificaciones, etc. En este artículo repasamos los que más han protagonizado las consultas de nuestro servicio de verificación por WhatsApp.
Telefonía: Apple
La empresa de telefonía de EUU es una de las más utilizadas por los estafadores para generar mensajes falsos de phishing y en Newtral.es hemos verificado varios, como por ejemplo este supuesto correo electrónico del servicio técnico en el que informaban del bloqueo de “su cuenta” porque “no podemos confirmar su información de facturación”. Es falso, el remitente de este mensaje es @dossbahamas.com, un sitio web registrado por un usuario de Panamá.
Este otro correo electrónico también simula pertenecer a la compañía californiana, en este caso se hacen pasar por la Apple Store. En el mensaje informan de una presunta compra en Itunes por valor de 49 dólares en el que nos piden que pinchemos en un enlace para cancelar el pago. Falso, intentan hacerse con nuestros datos bancarios.
Compañías de mensajería: SEUR y Correos
Otro de los ganchos que usan los estafadores para intentar hacerse con nuestros datos personales son las compañías de mensajería. Empresas como Correos o SEUR nos suelen notificar con el estado de los pedidos y es en este punto cuando aparecen una gran cantidad de mensajes falsos. Como por ejemplo este de Correos en el que nos piden abonar los gastos de envío. El mensaje es falso y la Policía Nacional alertó a través de su cuenta oficial de Twitter.
O este otro supuesto SMS de SEUR advirtiendo de una “entrega fallida” y que la propia compañía tuvo que avisar de que se trataba de un intento de estafa.
Servicios bancarios “fake”
Los estafadores intentan suplantar a nuestro banco con correos y mensajes que simulan su imagen de marca para engañar a la víctima. En Newtral.es hemos verificado varios mensajes de phishing relacionados con los bancos como por ejemplo este falso mensaje de Bankia: “Estimado cliente de Bankia. Su cuenta ha sido detenida. Verifique su acceso a la información de forma segura desde este enlace”. La ruta URL nos lleva a una web prácticamente idéntica a la de Bankia donde tenemos que introducir nuestro usuario y contraseña, sin embargo la web es falsa y Bankia informó a sus usuarios de la estafa a través de cuenta de Twitter.
Y bankia no ha sido el único, prácticamente todos los bancos han sufrido su particular suplantación de identidad en mensajes de phishing. Caixabank es otro de los ejemplos con este falso correo electrónico donde se avisaba de un supuesto cambio de protocolo para la protección de datos por el nuevo estado de alarma. Caixabank nos confirmó que había detectado este timo desde el mes de marzo y que para diferenciarlo de un email real era muy importante fijarse en el remitente, en este caso: “[email protected]”.
Supermercados: Mercadona Y Carrefour
Los supermercados también son utilizados como gancho para los intentos de phishing. En este caso los timadores usan “falsos cupones de regalo” para enganchar a sus víctimas. Pero no, ni Mercadona regala cupones por valor de 500€ durante el Estado de Alarma, ni Carrefour ofrece bonos gratuitos de 180€ por “soladiración con la nación”. Ambas empresas tuvieron que desmentir que estos cupones fueran reales para asegurar que estábamos ante sendas estafas de phishing.
Instituciones: Sanidad y la Agencia Tributaria
Las instituciones públicas tampoco se libran de ser involucradas en las estafa de phishing y mucho menos con la situación que se ha generado con la crisis del coronavirus y el estado de alarma en nuestro país. El ministerio de Sanidad no envió un correo electrónico adjuntando una circular donde informaba de nuevos protocolos que estaban siguiendo contra la situación de la COVID-19. El propio ministerio avisó de que habían detectado una campaña de correos maliciosos con la que intentaban suplantar su identidad.
También la Agencia Tributaria ha sufrido el phishing con falsas notificaciones: “Bloqueo judicial – cuenta bancaria suspendida”. El supuesto mensaje era un timo y la AEAT tuvo que publicar una nota de prensa donde advirtió de varios intentos de fraudes por cauces tecnológicos.
Aplicaciones de mensajería
Una de las “estafas estrella” de estos últimos meses ha sido el robo de cuentas de Whatsapp. En un primer momento los defraudadores se hacían pasar por el servicio técnico de la aplicación pidiendonos un código que nos habían mandando por SMS. En realidad este código es el que Whatsapp nos envía cuando intentamos entrar en nuestra cuenta si pinchamos en “¿has olvidado tu contraseña?”, es decir, les estamos dando acceso directo a nuestro usuario. Cuando la gente caía en la trampa y enviaba el código, los estafadores se hacían con tu cuenta y repetían esta operación con el resto de contactos, esta vez suplantando nuestra identidad.
Facebook nos confirmó que el mensaje no pertenecía al servicio técnico de Whatsapp y la Policía Nacional explicó en twitter el mecanismo por el cual podían arrebatarnos nuestra cuenta para intentar no picar el anzuelo.
Cómo evitar el ‘phishing’
Recuerda que el phishing es una estafa que podemos sufrir generalmente a través de mensajes de texto, correos electrónicos y llamadas fraudulentas en los que los delincuentes intentan hacerse de manera ilícita con nuestros datos personales, contraseñas o acceder a nuestras cuentas bancarias. En esta guía puedes encontrar algunas pautas para evitarlo y puedes consultar todas los bulos que hemos publicado en Newtral.es sobre las estafas de phishing.
La verdad es que no imaginamos la cantidad de gente que todavía cree que puede haber quien regale por amor al arte. Lo mas importante "siempre" es no facilitar datos de ninguna de las maneras porque el phishing está cada vez mas logrado.
Normalmente, la calidad de la redacción de los timos debe hacernos sospechar.
Es cierto que, de algún modo, somos 'clientes', pero la Agencia Tributaria nunca se dirige al contribuyente con términos como "Estimado Cliente". El lenguaje del timo-timador suele dejar mucho que desear, porque el 'príncipe nigeriano de turno' que intenta timarnos no conoce la lengua de Cervantes.
Pero estoy harto de los correos con los supuestos vales de supermercado.