Les estafes informàtiques es multipliquen per cinc

L'any passat es van comptabilitzar a Espanya 336.778 estafes informàtiques, gairebé cinc vegades més que sis anys abans, una alça que preocupa tant com el canvi constant dels modus operandi. Tot i això, l'estrella d'aquests enganys continua sent el «phishing», una tècnica d'enginyera social que ja ha «diversificat» la seva manera d'actuar.

Però com són aquests enganys? Fonts de la Unitat Tècnica de la Policia Judicial (UTPJ) de la Guàrdia Civil relacionen a EFE les estafes informàtiques que estan proliferant ara, de vegades difícils d'enquadrar en un Codi Penal que no es pot adaptar a la velocitat que ho fan els «dolents» .

Les Estrelles

És el «phishing» l'estrella. Es tracta d'una estafa que consisteix a enviar correus electrònics de forma massiva i indiscriminada simulant ser una entitat «amiga», generalment un banc, amb l'objectiu de robar a la víctima informació privada.

Precisament, el 59% de les estafes investigades per la Guàrdia Civil en els últims dotze mesos són per «phishing».

Però el que ara estan veient els investigadors -i ja hi ha hagut operacions policials en aquest sentit- és que els estafadors estan canviant el mitjà que utilitzen per arribar al nombre més gran de víctimes possible.

Així, s'estan detectant més estafes per «smishing», és a dir, a través de SMS, i per «vishing» (per telèfon). Fins i tot, tal com subratllen les fonts consultades, ara prolifera l'estafa per combinació d'aquestes dues modalitats.

Un exemple. A un client li arriba un SMS notificant un incident de seguretat al vostre compte i amb un suposat enllaç d'accés a la banca, que en realitat porta a una pàgina clonada en poder dels estafadors.

La víctima emplena les credencials d'accés a la banca «online», però quan accedeix li surt una notificació d'error de la pàgina.

Inclouen a més la trucada per al doble factor d'autenticació ja que els estafadors saben que les entitats bancàries l'exigeixen i, per tant, cal un SMS per confirmar la transferència.

Un cop han aconseguit l'accés a la banca «online», i per tant a les dades de la víctima, entra «a jugar» el «vishing».

Els estafadors truquen a la víctima fent-se passar pel banc per informar-lo que s'ha produït una incidència i aconsegueixen que aquesta els faciliti el codi de seguretat.

Amb ell en el seu poder, ja poden fer transaccions i «plomar» l'objectiu. Els «dolents» també utilitzen els serveis de VoIP per fer trucades de veu a través d'internet (VoIP significa Veu sobre IP).

Però per «no enxampar-se els dits» se serveixen de l'spoofing, un mètode pel qual la trucada o l'SMS es realitza des d'un número emmascarat que, segons afirma el que està a un altre costat, procedeix del banc de la víctima.

Recentment la Guàrdia Civil va dur a terme una macrooperació contra les estafes per SMS massius i va detenir un centenar de persones per estafar més d?un milió d?euros mitjançant aquest mètode.

Les empreses tampoc es lliuren

Una altra de les estafes és l'anomenada BEC (Business Email Compromise) a les sigles en anglès. O el que és el mateix, latac al correu electrònic empresarial. Del total d'estafes detectades per l'institut armat durant el període analitzat, un 6,8% corresponien a aquesta modalitat.

Normalment, les víctimes són les pimes ja que les grans empreses solen disposar de més seguretat informàtica i els seus empleats estan més conscienciats dels riscos.

Es tracta d'un tipus d'estafes en què els delinqüents fan enviaments des d'adreces de correu electrònic que imiten ser d'empreses proveïdores.

És a dir, suplanten un proveïdor i intercepten els correus de facturació que envia aquest. En aquest procés, canvien el compte del banc on fer els pagaments i, per tant, les transferències els arriben a ells.

En una operació del mes d'octubre passat, la Guàrdia Civil va desmantellar un grup que va estafar pel mètode del BEC onze empreses de Madrid, Granada, Astúries, Múrcia, Santa Cruz de Tenerife i Màlaga. L?estafa va pujar a 188.000 euros.

Una altra modalitat d'estafa a empreses, similar al BEC, és l'atac anomenat «man in the middle (home al mig)». Un 2,1% de les estafes informàtiques destapades per la Guàrdia Civil en els dotze últims mesos es corresponen amb aquest sistema

El pharming

Un nombre important de casos de «pharming» -el 19,4% del total- va investigar la Guàrdia Civil en un any, una estafa que consisteix a crear una pàgina web a imatge i semblança d'una «bona», generalment la pàgina d'accés a una entitat bancària. Pràcticament un clonat.

Els estafadors utilitzen diverses tècniques per posicionar-se, és a dir, perquè quan es faci la cerca a Google, aquesta web surti per davant de la clonada, encara que aquest és només un dels mètodes.

Perquè originalment el «pharming» utilitzava el que es coneix com a DNS poisoning, que consisteix que la part encarregada de traduir la URL a adreces IP es modificava perquè encara que l'usuari teclegés/visés que la URL era la real, l'ordinador el redirigís a la pàgina dels criminals.

En suma, amb aquest sistema, i en redirigir l'usuari a una web falsa, els delinqüents roben la seva informació, com ara números de comptes o contrasenyes.

L'SMS desbanca al correu

Hi ha més modalitats però el que és clar és que, com diuen les fonts de la Unitat Tècnica de la Policia Judicial, el frau a través d'SMS està substituint el correu electrònic, potser per una conscienciació més gran dels usuaris i perquè rebre SMS per confirmar pagaments, transferències, bizum... és a l'ordre del dia.