La compañía de ciberseguridad Panda Security ha alertado de que últimamente ha detectado que varias personas han sido víctimas de una nueva estafa a través de Bizum, la aplicación para realizar pagos bancarios a contactos del teléfono móvil. "De hecho, hasta lo que hemos podido averiguar, la Policía Nacional ha recibido las denuncias de algunos afectados por este phishing en el que se sirven de la popular plataforma de pagos móviles", ha señalado.
Según ha explicado Panda Security, esta nueva estafa comienzacon una llamada de una supuesta funcionaria de la Tesorería General de laSeguridad Social a sus víctimas en la que les indica que tienen pendiente ladevolución de unas tasas por la escolarización de sus hijos. Según les dice, setrata de una ayuda del Estado para hacer frente a la crisis del Covid 19 eincluso les da algo de información sobre el número de hijos y las edades de lasvíctimas.
Tras unos minutos de conversación y de que la falsatrabajadora de la Seguridad Social se "cerciore" de que,efectivamente, su víctima es "merecedora" de la ayuda económica delEstado, los criminales le envían un SMS cuyo remitente es "TGSS"(coincidiendo con las siglas de la Tesorería General de la Seguridad Social).
Siguiendo la información de Panda Security, en este SMSaparece un supuesto código de validación que se debe firmar y, si la víctimacae en el engaño, los ciberdelincuentes también consiguen los datos de sucuenta bancaria para recibir la oferta. Después, los atacantes asocian sutarjeta de crédito o su cuenta bancaria a Bizum, que necesita un número pin deconformidad para operar en cada transacción. Precisamente ese código pin es elque las víctimas firmaban pensando que es un código de activación.
"Lo máspreocupante de esta estafa es que la banda organizada de cibercriminales seestá sirviendo de la ingeniería social para que su engaño sea casi perfecto",subraya Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Asimismo, la compañía señala que, en este tipo de ataques, losatacantes no llaman de forma indiscriminada y aleatoria a sus potencialesvíctimas, sino que las estudian primero. "Lasanalizan en las redes sociales, ven las fotos de sus hijos e incluso adivinansus nombres y apellidos. A partir de ahí, hacen una búsqueda en Internet parasaber su dirección postal o incluso su DNI. Una vez que lo saben todo de susvíctimas, solo tienen que llamarles por teléfono y acabar el engaño".
Esta no es la primera oleada que se detecta
Panda Security también ha precisado que esta no es la primera oleada que se detecta de esta clase de timos y que comienzan a ser habituales. Una prueba de ello la encontramos el pasado mes de febrero, cuando la Guardia Civil detuvo a un grupo organizado que había robado 100.000 euros en tan solo unos días.
En este caso, la compañía explica que el modus operandi eradiferente ya que los ciberdelincuentes llamaban por teléfono desde Perú apersonas de ese país y residentes en España y que obtenían la informacióndirectamente en esa llamada, en lugar de hacerlo previamente a través de la "ingenieríasocial".
Varios días después, los atacantes volvían a llamarhaciéndose pasar por una operadora de su red de telefonía móvil y les ofrecíatentadoras ofertas como rebajas en sus facturas o incluso regalos dedispositivos digitales. Una vez que las víctimas accedían al engaño, losciberdelincuentes ejecutaban los mismos pasos para enviar el dinero a Perú y acuentas "fantasma" y, posteriormente, retirar el dinero en efectivoen cajeros automáticos.
"Todos estosejemplos nos deben recordar que es imperativo que la sociedad se conciencie deque todo lo que hacemos público en las redes sociales es una informaciónvaliosísima para los cibercriminales. Debemos ser escrupulosamente cautos a lahora de gestionar la privacidad de nuestros perfiles sociales y de nuestrosdispositivos, ya sean móviles, tablets, ordenadores o cualquier wearable o aparatoen nuestra casa conectada", sentencia Hervé Lambert.