Desmantelada una organización que robaba dinero de las cuentas bancarias por el método “email spoofing”

La Guardia Civil ha logrado bloquear transferencias fraudulentas por valor de 3,5 millones de euros

Uno de los agentes examina los sistemas fraudulentos utilizados por los estafadores
Uno de los agentes examina los sistemas fraudulentos utilizados por los estafadoresjmzesta

La Guardia Civil ha desmantelado una organización delictiva dedicada a cometer estafas a través de Internet. A través de un software malicioso, instalado en el ordenador de la víctima por la técnica conocida como “email spoofing”, conseguían desviar a sus cuentas grandes cantidades de dinero. Han sido detenidas 16 personas en diversas localidades y se han esclarecido 20 delitos de estafa.

La investigación se inició hace más de un año, tras varias denuncias presentadas por diferentes organismos oficiales, situados a lo largo de toda la geografía nacional, por la supuesta infección de sus equipos informáticos con algún tipo de software malicioso, con el que habrían conseguido desviar de sus cuentas, a través de la banca online, grandes cantidades de dinero.

Tras analizar dichos equipos informáticos, los agentes observaron que la infección se llevaba a cabo a través de una técnica conocida como “email spoofing”, consistente en el envío fraudulento de correos electrónicos en los que los atacantes ocultaban la verdadera dirección del remitente; la sustituían por otra, aparentemente, legítima, y lograban suplantar la identidad de organismos estatales como la Agencia Tributaria, Hacienda, Correos o la DGT.

Los denunciantes recibían mensajes en los que se les requería el pago de deudas fiscales, abonar multas de tráfico, o la recogida de paquetes, para lo cual debían abrir un enlace inserto en el correo recibido y ver los detalles.

Cuando accedían a ese enlace, lo hacían a una dirección o página web desde la que, en segundo plano, era descargado e instalado el programa malicioso.

Una vez en el ordenador, sin que el usuario se diera cuenta, permanecía latente a la espera de ser activado en el momento en que la víctima accediera a cualquier página web de un banco para una transacción bancaria.

En ese momento, el software malicioso realizaba una interceptación y modificación de los datos emitidos; el dinero iba a parar a sus cuentas, unas 30. El dinero era diversificado mediante su envío a otras cuentas, o mediante extracción de efectivo en cajeros, transferencias por BIZUM, tarjetas REVOLUT, etcétera con el fin de dificultar la posible investigación policial.

Una característica en la que coincidían todas la víctimas es que, una vez que realizaban cualquier operación bancaria a través de la web, sus ordenadores se reiniciaban varias veces hasta bloquearse el acceso; comprobaban más tarde que se habían realizado transferencias de grandes cantidades de dinero a cuentas de desconocidos.

Los investigadores, en colaboración con el Departamento de Informática de la Diputación Provincial de Cáceres, detectaron una actividad sospechosa en al menos 68 cuentas de correo electrónico pertenecientes a organismos oficiales, que estaban infectadas con los troyanos “Mekotio” y “Grandoreiro”. Los agentes han conseguido bloquear tentativas de transferencias por un importe de 3.500.000 euros, después de analizar más de 1.800 correos electrónicos.

La organización estaba perfectamente estructurada y jerarquizada, en cuatro niveles. Por un lado, se hallaban los que se dedicaban a recibir las cantidades de las transferencias fraudulentas (Nivel 1), que posteriormente transferían a otros miembros de la organización (Nivel 2). Por otro lado, se encontraban los que transferían el dinero a otras cuentas ubicadas en el extranjero (Nivel 3) y, finalmente, los que se dedicaban a enmascarar la operativa online de las cuentas (Nivel 4).

Se tratan de tres ataques basados en ingeniería social muy similares en su ejecución. De forma general, el ciberdelincuente enviará un mensaje suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública, con la que nos sintamos confiados, para lograr su objetivo, informa la Guardia Civil. Estos mensajes suelen ser de carácter urgente o atractivo, para evitar que aplique el sentido común y se lo piensen dos veces.

Phishing: Suele emplearse el correo electrónico, redes sociales o aplicaciones de mensajería instantánea.

Vishing: Se lleva a cabo mediante llamadas de teléfono.

Smishing: El canal utilizado son los SMS.

En ocasiones, traen consigo un enlace a una web fraudulenta, que ha podido ser suplantada, fingiendo ser un enlace legítimo, o bien se trata de un archivo adjunto malicioso para infectarnos con malware.

El principal consejo es ser precavido y leer el mensaje detenidamente, especialmente si se trata de entidades con peticiones urgentes, promociones o chollos demasiado atractivos.

Además, otras pautas que podemos seguir para evitar ser víctima de este tipo de engaños, pueden ser:

• Detectar errores gramaticales en el mensaje. Y, si se trata de un asunto urgente o acerca de una promoción muy atractiva, es muy probable que se trate de un fraude.

• Revisar que el enlace coincide con la dirección a la que apunta. Y, en cualquier caso, debemos ingresar la url nosotros directamente en el navegador, sin copiar y pegar.

• Comprobar el remitente del mensaje, o asegurarnos de que se trata de un teléfono legítimo.

• No descargar ningún archivo adjunto y analizarlo previamente con el antivirus.

En caso de vishing, no debemos descargar ningún archivo que nos haya solicitado el atacante, ni ceder el control de nuestro equipo por medio de algún software de control remoto.

• No contestar nunca al mensaje y eliminarlo.