OJO: phising en banca electrónica

Hola a tod@s! 

Ayer hemos sido víctimas de una estafa de la banca online, a través de una suplantación de identidad.

Primeramente, hemos recibido un SMS, aparentemente enviado por la BBVA, ya que, estaba entre otros SMS anteriores enviados por la entidad bancaria. El SMS indicaba que alguien estaba accediendo a mi banca online y contenía un enlace para verificarlo. Al confiar que el SMS era de la BBVA, hemos entrado en el enlace y aparecía la página principal de la BBVA.

En ese momento, el estafador ya estaba dentro de mi banca online, por lo que han quebrantado la ciberseguridad de la banca electrónica.

Posteriormente, recibimos una llamada del teléfono "912249426" identificado en el móvil como BBVA, y el estafador se ha identificado como trabajador del departamento de anti-fraude de la entidad bancaria. Se me informa que se ha intentado acceder a mi banca online y que hay que verificar la cuenta, para evitar posibles fraudes. Por lo que, me menciona diferentes movimientos bancarios que había realizado, por lo que dí veracidad a la llamada, ya que tenía acceso a los movimientos. Finalmente, se me envía un código de seguridad que tenía que verificarlo (código de biometría), supuestamente para hacer comprobaciones.

Una vez finalizada la llamada, es cuando se produjeron 2 cargos fraudulentos con la tarjeta de débito, por un montante de 4.000€. Las transacciones pagadas con la tarjeta de crédito han ido destinadas a la compra de criptomonedas, lo que hace muy complicado seguir la pista en la investigación policial)

Finalmente, hoy hemos acudido a la BBVA para realizar la reclamación correspondiente (adjuntando la denuncia de la Ertzaintza),  y han quedado en que cuando tengan una respuesta del departamento de fraudes, me comentan algo.
Cualquiera puede caer en esta estafa, ya que, el sms y la llamada se identificaban como BBVA, lo que da 100% de credibilidad, y el sistema de ciberseguridad del banco ha fallado (al pinchar en el enlace el delincuente ya está dentro de tu banca electrónica).

De momento, tenemos esperanzas de poder recuperar nuestro dinero y queremos contrastar con otras víctimas de la misma estafa, si han podido recuperar su dinero a través del banco o han tenido que derivarlo a algún abogado, porque el banco no se hacía cargo. Esperando vuestras aportaciones...

Muchas gracias y saludos!

Para acceder a la cuenta has tenido que facilitar claves de acceso, para realizar los cargos en la tarjeta habrás tenido que facilitar también el CVV, el tfn es posible que lo hayan podido cambiar desde la cuenta pero aún así el sms con el código para el cambio te tiene que llegar a tú tfn, no es tan sencillo si no se facilitan datos.

...eso me parece a mi, ..pero no se. Es todo muy extraño

Te lo voy a explicar otra vez a ver si queda claro. El estafador ha accedido a mi cuenta, cuando he pinchado en el enlace del sms. De manera que ha entrado al sistema informático del banco, por lo que no parece que haya mucha ciberseguridad. Además, han suplantado su identidad. 
Nos han robado 4000€ y hemos escrito en este blog buscando aportaciones, no lecciones de ciberseguridad. Gracias!

Lo que dices se llama smishing y si te fijas cuando entras en la web del BBVA ya te sale una ventana advirtiéndote de esto y te dice si te interesa o no si le das click a me interesa te da explicaciones y ves como son los SMS y te advierte que sobretodo entres siempre por la web o por la aplicación y que nunca entres por un enlace ya que ellos no envían esos SMS . No se si te podrán ayudar porque realmente al ir tu al enlace les das acceso a todos los datos cuando te piden el usuario y contraseña. La policía y los bancos y otras entidades están advirtiendo siempre sobre esto, lo que pasa es que a veces la gente en un momento dado se asusta y hace lo que no debería hacer y cae en el timo.

Supongo que tenéis que denunciar a la policía y no se si el banco os podrá ayudar.

Yo no os puedo aportar más porque no me ha pasado nunca y no se si os podrán devolver el dinero o no, supongo que tenéis que esperar la respuesta del banco? Que os han dicho ellos?

Mira este enlace: TE dice todas las advertencias de BBVA:

https://www.bbva.es/finanzas-vistazo/ciberseguridad/ataques-informaticos/smishing-el-sms-como-medio-para-robarte-los-datos.html

Te copio lo que pone:
 

El smishing es un ataque de ingeniería social basado en el envío de mensajes fraudulentos, ya sea mediante SMS o WhatsApp, en los que los ciberdelincuentes suplantan la identidad de una compañía legítima o persona y ofrecen a los usuarios falsos premios o promociones para obtener sus datos personales y bancarios.

Otras variantes de smishing que circulan en la actualidad informan sobre falsos avisos de paquetes que no han podido ser entregados, facturas de servicios, devolución de importes, actualización o verificación de la información bancaria, etc.

Estos mensajes suelen tener un carácter urgente y solicitan al usuario realizar una acción inmediata, como llamar al número de teléfono que indican, responder al mensaje o pulsar en el enlace que contienen para que proporcione sus datos privados en la página web fraudulenta a la que los ciberdelincuentes intentan redirigir desde dicho enlace.

Un ejemplo de 'smishing'

 

 

 

[Página web fraudulenta a la que redirige un smishing suplantando a la compañía SEUR (solicitan el código de seguridad y el PIN de la tarjeta a los usuarios)].

Consejos para protegerse del 'smishing'

A continuación se exponen una serie de recomendaciones de seguridad para evitar ser víctima de un ataque de smishing:

- No proporciones información personal o bancaria en páginas web a las que has accedido desde un enlace incluido en un email o SMS.

- Tampoco debes responder nunca a SMS sospechosos.

- No prestes atención a aquellas ofertas o premios que resulten muy tentadores o fáciles de conseguir, ya que no suelen ser legítimos.

- Desconfía de todos aquellos mensajes alarmantes que tengan tono de urgencia, contengan faltas de ortografía o erratas y de los que no se dirigen a ti de forma personalizada.

- Contacta con BBVA en el 900 102 801 si sufres cualquier incidente de seguridad relacionado con tus cuentas o tarjetas. 

Pinchar un enlace no accede a la web de tu banco, sólo te lleva a una web que puede ser o no la real. Si no es la real , y pones a mano usuario y contraseña le das tus claves de acceso al ladrón, pero seguramente necesite algo más para hacer cargos, por eso llaman.

Los sms pueden ponerse con cualquier nombre de remitente.

Siempre hay que entrar desde la app del banco.

¿puedes ponernos captura del sms que te pedía el "código de biometría" ?

Cuanta más información menos personas caerán.

Esta es la captura de un sms que enviaron a un familiar, pone bbva pero ya digo los remitentes de sms se pueden poner "a mano"

Lo de "verifique que la web tiene un candado" está ya obsoleto, ya que no cuesta dinero hacer una web https que aparezca como "segura".

Aparecía una web que simulaba ser la de bbva para que le dieras tus datos de acceso. Una vez que los des te puede llevar a la real y acceder. Por eso hay que entrar siempre desde la app.

Observo que los casos de phising y similares van "in crescendo".
Con tantos casos ya no vale echar la culpa a los estafados. Es urgente que se tomen medidas, está claro que se ha fomentado un sistema de banca electrónica con unos niveles de seguridad, como poco, discutibles.

Ellos no han entrado al banco directamente. 
Tú les has ido dando todo lo que necesitaban para entrar y tomar el control de tu cuenta. 
Lo que tienen es un sistema de ingeniería social muy ajustado a a seguridad del banco, pero nada pueden hacer si no haces click en ese enlace del SMS. 

Suerte con la reclamación. 

Ese es el sms que llega al móvil y los códigos de biometría. Y los mensajes que suelen llegar para confirmar una compra con la tarjeta, suelen indicar el importe y concepto. En este caso no. Los sms tienen un hilo conductor junto a otros de la BBVA. Espero que tomen medidas para que no sea estafada más gente. Gracias

La culpa siempre es de los estafadores. 
Dicho eso nosotros también podemos poner más de nuestra parte y ser más cuidadosos. 
Yo estoy harto de recibir avisos de los bancos de no hacer click en ningún enlace de ningún SMS. 

Ellos han entrado en mi cuenta, cuando yo he hecho click en el enlace, sin que les facilite ningún dato. Pero, ya es tarde porque ya he hecho click, al igual que muchas personas afectadas. A partir de ahora posibles soluciones para recuperar el dinero? Gracias

Ese enlace que aún funciona a medias es un acortador que lleva a la web https://bbva.clientes-personas.online/ , que no es la oficial https://www.bbva.es

A mi nadie me había advertido antes de esa estafa en concreto