¿Cómo pueden robar las claves de acceso a tu banco?
Las 5 principales técnicas que se utilizan para el robo de credenciales y comparte buenas prácticas para evitar caer en engaños.
Ecuador– Las credenciales bancarias representan uno de los activos más valiosos para las personas: obtenerlas significa para los cibercriminales tener en sus manos la llave que abre una caja fuerte virtual, y disponer del dinero de sus víctimas. Para ello, emplean diversas técnicas que, en caso de encontrar a usuarios desprotegidos, desprevenidos o descuidados, suelen dar sus frutos
ESET comparte las cinco principales estrategias que utiliza el cibercrimen para robar las claves bancarias, y de qué manera es posible protegerse de estos ataques:
-
Sitios falsos: Los estafadores emplean una URL que incluye el nombre del banco y que hasta tiene una apariencia similar al oficial. El nombre del sitio suele ser casi idéntico al nombre que utiliza el banco en sus cuentas de Twitter e Instagram, con una mínima diferencia (puede ser a veces de una sola letra). De hecho, una búsqueda en Google puede llevar a estos sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda, muchas veces en forma de anuncios.
Ya en el sitio falso, la estética y el diseño son idénticos a los de la página oficial. Y para acceder al supuesto homebanking es que incluye los campos en los que las víctimas deben ingresar credenciales de inicio de sesión, que en realidad serán para ciberdelincuentes. Una vez que la persona ingresa su nombre de usuario y contraseña, el sitio suele simular que verifica los datos entregados, cuando en ese tiempo en realidad los cibercriminales inician sesión con las credenciales robadas en el sitio legítimo del banco.
-
Malware: El malware ha evolucionado a pasos agigantados, de hecho se comercializan diferentes tipos de códigos maliciosos. Los troyanos bancarios, con gran presencia en toda la región, han causado daños por una cifra que asciende a los 110 millones de euros.
Hay distintas manera en que los cibercriminales pueden colocar ese tipo de malware en los equipos de sus víctimas. Por un lado, mediante correos de phishing o mensajes de texto. También a través de anuncios maliciosos, el compromiso de un sitio web que recibe muchas visitas (ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio) y hasta puede estar oculto en aplicaciones móviles maliciosas que simulan ser legítimas.
-
Llamadas telefónicas: Dado que los estafadores son profesionales en su rubro y suelen contar historias de manera muy convincente, se valen de la ingeniería social para engañar y robar información sensible, como las claves de acceso del banco. Los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, con el único objetivo de lograr una comunicación más personal que a través de un correo electrónico: así la manipulación es más fácil de llevar a cabo. Como excusa de llamada pueden utilizar el informar sobre algún problema puntual con la cuenta bancaria o de un movimiento fraudulento asociado a la víctima. Para la supuesta resolución es que solicitarán información personal y las claves de acceso a la cuenta.
-
Perfiles falsos en redes: Otra táctica común y muy eficiente es el armar perfiles falsos en las redes sociales (léase Facebook, Instagram o Twitter), y desde allí llevar a cabo el engaño que termine en la obtención de credenciales de acceso bancario de víctimas desprevenidas o desinformadas.
-
Scraping: El scraping o “rascado” funciona una vez que una persona empieza a seguir la cuenta oficial de un banco en redes sociales para realizar una consulta, los ciberatacantes la contactan por privado, de manera inmediata, haciéndose pasar por el banco en cuestión. Si la víctima responde el mensaje sin verificar que se trata de una cuenta real o falsa, el supuesto asesor pedirá un número de teléfono para continuar con la consulta por esa vía. Allí utilizarán toda la información disponible en las redes sociales e internet en general para hacerle creer a la víctima de que realmente es un colaborador del banco y que está allí para darle soporte. Una vez que la víctima entra en confianza, el supuesto asesor pedirá la información bancaria, que le servirán para vaciar la cuenta.
Desde ESET comparten buenas prácticas que permiten reducir sensiblemente el riesgo de ser víctima de estafas:
-
Verificar la dirección web visitada y confirmar que es la correcta.
-
Comprobar que el sitio web tenga un certificado de seguridad válido, firmado por la compañía que dice ser.
-
No brindar información personal o financiera, si no se cuenta con la seguridad de que el sitio web es legítimo.
-
No divulgar ningún detalle por teléfono, incluso si la persona del otro lado suena convincente. Consultar de dónde están llamando y luego volver a llamar a esa organización para verificar. Es clave no utilizar los números de contacto proporcionados por esa persona.
-
No hacer clic en enlaces ni descargar archivos de correos electrónicos, mensajes de redes sociales, mensajería instantánea (WhatsApp, Telegram), o de texto sospechosos o de remitentes desconocidos.
-
Siempre utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas, y mantenerlo actualizado.
-
Descargar aplicaciones de tiendas oficiales, como la App Store o Google Play.
“El primer paso como siempre en estos casos es interiorizarse y mantenerse informado de las estrategias y técnicas que utilizan los cibercriminales para obtener las credenciales bancarias y cualquier otro tipo de información sensible. Y la principal aliada en esto de mantener las claves protegidas es una solución de seguridad, que cuide las operaciones en línea, pero sobre todo, las bancarias. Las soluciones de seguridad también evolucionaron y, por ejemplo, de ESET se destaca la “Protección de banca y pagos en línea”, que asegura que cada una de las transacciones estén protegidas dentro de un entorno seguro y confiable, brindando protección contra el fraude online. Además, el modo de navegador seguro ofrece protección automática para las operaciones bancarias en línea y encripta automáticamente la comunicación entre el teclado y el navegador (en todos los navegadores compatibles) para proveer una capa de seguridad adicional frente a keyloggers, malware y otros tipos de amenazas digitales.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Fuente: ESET, Ecuador