Troyanos bancarios, llamadas telefónicas, scrapping, perfiles falsos en redes, y el tradicional Phishing, son algunas de las múltiples técnicas que hoy utiliza la ciberdelincuencia para robar las credenciales bancarias de los internautas, y obtener la llave que les permita vaciar la caja fuerte virtual de las personas, así lo denunció la firma especializada en seguridad informática, ESET.
Las prácticas de los hampones de la web van en aumento, ahora el “scrapping o rascado”, técnica que se pone en marcha una vez que un internauta empieza a seguir una cuenta oficial de un banco, o cuando detectan que un usuario/a busca contactar a una institución financiera para resolver algún problema.
“Los ciberatacantes lo contactan por privado, de manera inmediata, haciéndose pasar por el banco en cuestión. Si la víctima responde el mensaje sin verificar que se trata de una cuenta real o falsa, el supuesto asesor pedirá un número de teléfono… Una vez que la víctima entra en confianza, el supuesto asesor pedirá la información bancaria, que le servirá para vaciar la cuenta del usuario”.
Los estafadores también emplean una URL con el nombre del banco y o incluso suelen crear un sitio con la apariencia oficial de la institución, “el sitio suele ser casi idéntico al nombre que utiliza el banco en sus cuentas de Twitter e Instagram. De hecho, una búsqueda en Google puede llevar a estos sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda, muchas veces en forma de anuncios.
Otra técnica común y muy eficiente de la ciberdelincuencia es armar perfiles falsos en redes sociales como Facebook, Instagram o X antes Twitter, desde donde y con base en engaños obtienen las credenciales de acceso bancario de víctimas desprevenidas o desinformadas.
Al navegar por estas redes monitorean comentarios de usuarios que hacen reclamos o piden resolver algún inconveniente, la urgencia de los mensajes es de lo que se valen para hacer contacto y ofrecer el servicio de atención al cliente o con perfiles falsos envían mensajes haciéndose pasar por la cuenta oficial del banco, para conseguir la llave que les permitirá vaciar la caja fuerte virtual del usuario.
“Los cibercriminales pueden explotar una vulnerabilidad en scripts o plugins agregados que no se encuentren actualizados, o bien aquellas fallas de seguridad que no han sido descubiertas. Así, pueden agregar una redirección desde el sitio víctima hacia el sitio del atacante, desde el cual podrán obtener las credenciales».
Sobra decir de técnicas más conocidas como la colocación de phishing o malware, este último con enormes evoluciones. Los troyanos bancarios, con gran presencia en toda la región, han causado daños por una cifra calculada en 110 millones de euros, siendo Mekotio, Casbaneiro, Amavaldo o Grandoreiro algunas de las familias capaces de realizar distintas acciones maliciosas, a través de la suplantación de la identidad de bancos mediante ventanas emergentes falsas y así robar información sensible de las víctimas.
ESET destaca que por fortuna las soluciones de seguridad también han evolucionado para enfrentar con éxito todo este tipo de ataques, Protección de banca y pagos en línea, es una tecnología que protege cada una de las transacciones contra el fraude online.
«Con el modo de navegador seguro ofrece protección automática para las operaciones bancarias en línea y encripta automáticamente la comunicación entre el teclado y el navegador y ofrece una capa de seguridad adicional para enfrentar keyloggers, malware y otros tipos de amenazas digitales”, precisó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
C$T-EVP