Nuevo ataque de phishing en el que se hacen pasar por tu banco

PublishedOctober 9, 2019

We may earn a commission from links on this page.

Imagen para el artículo titulado Este ataque de phishing es tan creíble que podría dejarte sin dinero — Ilustración: mohamed_hassan / 4532 images (Pixabay)

Los emails del príncipe nigeriano quedaron atrás. La estafa telefónica que describe el empresario Pieter Gunst en Twitter demuestra que los nuevos ataques de phishing no se deberían subestimar. Una llamada y ¡adiós dinero!

Watch

Miura 1, el primer cohete español

view video

Miura 1, el primer cohete fabricado por una empresa española, está listo para volar

Así es por dentro la Kings League, el 'circo' futbolero de Gerard Piqué que ha conquistado Twitch

March 4, 2023

Así suena el silbato de la muerte azteca, el espeluznante instrumento que tiene perplejos a los arqueólogos

July 27, 2018

En el caso Gunst, esa llamada transcurrió así:

—Hola, le llamo de su banco. Ha habido un intento de usar su tarjeta en Miami, Florida. ¿Ha sido usted?

—No.

—De acuerdo, hemos bloqueado la transacción. Para verificar que estoy hablando con Pieter, ¿me podría decir su número de miembro?

—Es...

(El número de miembro no es una clave privada, así que hasta aquí todo bien).

—Le hemos enviado un pin de verificación a su teléfono.

(Gunst recibió un SMS de la centralita de su banco con el código de verificación y se lo leyó en voz alta al estafador).

—De acuerdo, voy a leer otras transacciones, dígame si son suyas...

—Sí, son transacciones legítimas que yo mismo hice.

—Gracias, ahora queremos bloquear el PIN de su cuenta para que reciba una alerta de fraude cuando se vuelva a usar, ¿cuál es su PIN?

—¿Está de broma? No le voy a dar mi PIN.

—De acuerdo, pero entonces no podremos bloquear su tarjeta.

Gunst colgó el teléfono e informó a su banco de lo ocurrido. El atacante había aprovechado el número de miembro que la propia víctima le proporcionó para restablecer su contraseña de la web del banco, lo que generó un número de verificación que el banco envió a Gunst por SMS. Pieter ya había recibido otros códigos de verificación de ese mismo número, por lo que creyó que realmente estaba hablando con su banco y reveló al atacante esa información.

Una vez que el atacante obtuvo el número, accedió a la cuenta bancaria y leyó algunas transacciones reales para dar más credibilidad a la llamada. Sin embargo, necesitaba el PIN para transferir o retirar dinero, y eso fue lo que destapó la mentira. Un empleado del banco no debería pedirte tu clave privada.

En esencia, es lo mismo que mencionaba en otro artículo: hackear la verificación en dos pasos puede ser absurdamente fácil con un poco de ingeniería social. Si te haces con algunos datos personales de la víctima y te inventas una buena historia, convencerlo de que te lea un número que le llega por SMS es trivial.

En el contexto de la seguridad informática, el usuario suele ser el factor más débil porque puedes sacarle información confidencial mediante la manipulación. Pero la culpa de esto ocurra la tienen las empresas que diseñan los sistemas de verificación: el banco podría avisar en el SMS de que no debes dar el código a nadie, ni siquiera a un supuesto empleado del banco.