La Guardia Civil ha procedido a la detención en Barcelona de 2 personas y a la investigación de otras 56. Esta intervención ha permitido desmantelar una organización criminal (radicada en Barcelona) dedicada
al smishing bancario.
A 4 de estas personas se le imputan los delitos de pertenencia organización criminal y estafa y a las otras 54 el delito de estafa. El dinero estafado a clientes de entidades financieras asciende a un
total de 129.000 euros obtenido en 40 estafas. Estas víctimas residen en la provincia de Zamora y denunciaron los primeros hechos en el mes de junio del 2022.
En el caso que nos ocupa, esta modalidad delictiva era dirigida hacia un grupo concreto de personas todos ellos clientes de entidades financieras suplantadas por los estafadores. A partir de aquí empiezan a utilizar “ingeniería social”, combinan paquetes de mensajería y llamadas telefónicas falsas para hacerse pasar por una fuente legítima (entidad bancaria) y solicitar información confidencial, como contraseñas y números de cuentas bancarias.
Estos paquetes de mensajería tienen por finalidad engañar al cliente entendiendo éste que proviene de su entidad bancaria, mediante informaciones falsas bajo pretexto de accesos indebidos a su cuenta,
trasferencia de fondos etc.…, a la vez que adjuntan un enlace que debería redireccionarles a la supuesta web del banco para que solucionen el supuesto problema.
Este SMS falso se incluye en el grupo de mensajes SMS reales recibidos con las notificaciones de las autorizaciones de pago al realizar cualquier tipo de operación con la citada entidad bancaria. El ciberdelincuente tiene ya preparada toda su infraestructura que consiste en el clonado de la web del banco en servidores preparados para el alojamiento web y material informático que simula llamadas telefónicas en nombre de la entidad financiera.
Cuando la víctima accede a través del falso enlace (que le llega junto con el mensaje citado) le redirecciona a la web clonada del ciberdelincuente (concretamente la página de inicio donde se introducen las contraseñas, WEB SPOOFING) haciéndose con las claves de acceso de los usuarios.
Más tarde se recibe una llamada telefónica, apareciendo en el móvil de los perjudicados el número oficial de la entidad bancaria (CALL SPOOFING) informando (el ciberdelincuente) del supuesto problema que
está sucediendo, solicitando las claves que le han sido enviadas a la víctima por SMS para poder solucionarlo.
Mediante este engaño y facilitadas las claves de la operación es cuando se consuma la estafa, trasfiriendo el ciberdelincuente los fondos, realizando un BIZUM, compras ON-LINE, inversiones en criptoactivos o trasferencias inmediatas.