Els Mossos alerten de la tornada d’una vella estafa que buida els comptes bancaris a Catalunya

Una vella estafa posa en alerta els clients de Movistar, amb un tipus d’estafa que també és molt comuna en les entitats bancàries. Suplantar la identitat per enganyar i robar a les víctimes és una forma d’estafa que es coneix com a ‘vishing’, que l’Institut Nacional de Ciberseguretat (Incibe) defineix com una tècnica en la qual, «a través d’una trucada, se suplanta la identitat d’una empresa, organització o persona de confiança amb l’objectiu d’obtenir informació personal i sensible de la víctima».

«¡Alerta! Nova campanya de ‘vishing’ detectada que suplanta Movistar. Si reps una trucada d’un número desconegut per canviar el rúter no te’n fiïs, estan intentant aconseguir les teves claus de miMovistar», ha indicat a la seva xarxa social ‘X’. «Cada vegada ressorgeix de manera més elaborada amb trucades falses fent-se passar per Movistar, Telefónica o altres empreses de serveis, subministraments, entitats bancàries…», han escrit a la seva pàgina web.

«Tornen les trucades en què suplanten Movistar i, amb l’excusa que has de canviar el rúter, volen aconseguir les teves dades personals. No hi piquis, i en cas de dubte, contacta directament amb la companyia», han publicat els Mossos.

Així funciona als bancs

Un usuari va rebre fa un temps una trucada des del número de telèfon de la seva sucursal bancària. A l’altre costat del telèfon parlava un home, que es va identificar com a treballador del banc. Li va trucar per avisar-lo que algú estava intentant treure 400 euros del seu compte bancari i, per confirmar-ho, li va indicar els 20 dígits correctes del número del seu compte.

No va sospitar: el trucaven des del número que tenia agendat, sabien totes les seves dades i, a més, coneixien a la perfecció el seu compte bancari. Després de donar-li aquesta informació, el que pensava que era el seu banc el va convidar a fer una prova per evitar que el presumpte intent de robatori li passés de nou.

¿Què és ‘Instant money’?

Durant la mateixa trucada, poden indicar-te que comprovis que el servei d’‘instant money’ funcionava, ja que resulta que el robatori havia sigut perpetrat des d’aquest servei.

Aquesta innovadora funció –‘instant money’– permet a qualsevol client del banc autoritzar a una altra persona a retirar diners a l’instant des d’un caixer automàtic. La persona propietària del compte ha d’ordenar la retirada des de la seva aplicació del banc i anotar el número de telèfon de la persona que el retirarà, i posar la seva firma digital per confirmar la identitat. Una vegada fet, la persona autoritzada rebrà un codi amb el qual podrà retirar els diners.

Va ser llavors quan el Joan va començar a sospitar: mai abans havia sentit parlar de l’‘instant money’ i no el tenia activat, però va seguir les indicacions. El suposat senyor del banc li va dir que, per provar, intentarien fer una operació senzilla a través d’aquest servei.

Per a «més seguretat», s’havia d’enviar els diners a si mateix: ell ordenava una retirada de diners al seu mateix número de telèfon. La prova no tenia més recorregut: sense aquest codi –que només el Joan rebria– ningú podria treure els diners. Però, des de la trucada, el van instar que digués el codi rebut en l’SMS per «comprovar» que era el correcte amb «les dades enviades pel banc».

En aquell moment, les sospites van evitar que aquest revelés el codi que havia rebut per SMS, i va penjar. Així va evitar que els estafadors, que segurament estaven al costat d’un caixer esperant que els donés el número rebut per SMS, li robessin. L’endemà, va anar a la seva oficina bancària, on li van confirmar que es tracta d’una estafa molt recurrent i perillosa.

‘Spoofing’ o ‘vishing’: suplantar la identitat del banc

L’Incibe alerta a la seva web que «detectar una suplantació d’identitat telefònica pot ser difícil, ja que els ciberdelinqüents utilitzen tècniques cada vegada més sofisticades».

Un exemple és que aconsegueixen trucar des del número de telèfon del teu banc. Es pot fer de dues maneres:

La primera consisteix a utilitzar un servei de VoIP (veu sobre protocol d’internet, per les seves sigles en anglès) que permet contactar amb el destinatari com si fos una trucada per xarxa telefònica quan en realitat es tracta d’una comunicació per internet.

El segon mètode és trucar des d’un altre número, però canviant el número que apareix en pantalla al destinatari, una cosa que els mateixos proveïdors de VoIP poden fer, ja que no solen comprovar si el client és l’amo del número que sol·liciten.

¿Com saben les teves dades?

La tècnica que utilitzen aquests ciberdelinqüents perquè confiïs en ells és donar-te dades que aparentment ningú pot conèixer sense que tu ho sàpigues. Saben el teu nom, cognoms, DNI, número de telèfon (et truquen directament) i, com en el cas del Joan, també el teu compte bancari.

Aquestes informacions les solen obtenir de filtracions de dades massives que roben a grans empreses, però també les poden comprar al mercat negre. Per exemple, el 2018, l’empresa de Facebook (ara Meta) va reconèixer que s’havien filtrat 30 milions de dades d’usuaris per un atac pirata. Aquest va ser un cas molt conegut, per la dimensió de l’empresa, però passa en moltes altres companyies.

Notícies relacionades

Catalunya, Astúries i Andalusia, a la cua en percentatge d’inversió en transports

La Seat que rebrà el nou president

També pot ser que les dades les hagis donat tu mateix com a víctima d’un engany de ‘phishing’, un altre tipus d’esta que generalment et porta a un enllaç en què et demanen les teves dades. Si no et roben diners pots no adonar-te del delicte, però segurament t’hagin robat dades per utilitzar-les en una altra estafa més gran.

Alguns consells i recomanacions

L’Incibe, al seu portal web, recull alguns consells i recomanacions que hem de tenir en compte per evitar aquestes estafes: