Septiembre es uno de los meses con mayor incidencia de los ciberataques a los consumidores españoles. Ya sea a través de llamadas telefónicas, correos electrónicos o SMS, todas buscan lo mismo: estafar al usuario.
Ahora, Panda Security alerta de una nueva estafa que aprovecha la popularidad de Bizum para robar dinero al usuario haciéndose pasar por la Tesoreía General de la Seguridad Social con el argumento de una falsa ayuda por las secuelas del coronavirus.
En concreto, la compañía de seguridad alerta en un comunicado que "la Policía Nacional ha recibido las denuncias de algunos afectados por este phishing en el que se sirven de la popular plataforma de pagos móviles".
Así funciona el engaño
La ciberestafa usa tanto la llamada telefónica como el envío de un SMS con suplantación de identidad. De este modo, una persona que se hace pasar por funcionario de la Tesorería General de la Seguridad Social llama a sus víctimas para indicarles que tienen pendiente la devolución de unas tasas por la escolarización de sus hijos.
El falso trabajador de la Seguridad Social explica a la víctima que se trata de una nueva ayuda del Estado para hacer frente a la crisis de la Covid-19, dando incluso algo de información sobre el número de hijos y las edades de las víctimas. Y es que recordemos que en el vishing, los ciberdelincuentes han hecho el trabajo previo de conocer la situación personal de la víctima.
"Estudian primero a sus víctimas, las analizan en redes sociales, conocen su situación familiar y, a partir de ahí, hacen una búsqueda en internet para saber su dirección postal o incluso su DNI. Cuando lo saben sólo tienen que llamarles por teléfono y acabar el engaño", detalla Panda.
Tras hablar con ella y 'confirmar' que es merecedora de tal ayuda. La víctima pica en el engaño y los ciberdelincuentes consiguen hacerse con los datos de la cuenta bancaria o la tarjeta de crédito, de este modo la asocian a Bizum.
Como Bizum requiere de un pin de activación, la segunda fase del timo es que "los criminales envían un SMS cuyo remitente es TGSS (coincidiendo con las siglas de Tesorería General de la Seguridad Social) en el que aparece un supuesto código de validación de la transferencia con las ayudas, sin embargo es el código de activación de Bizum", explica Panda.
No es la primera
El conocimiento de un usuario a través de las redes sociales, conocido como ingenería social, es lo que permite este tipo de estafa, una modalidad que está en auge. "Lo más preocupante de esta estafa es que la banda organizada de cibercriminales se está sirviendo de la ingeniería social para que su engaño sea casi perfecto", detalla Hervé Lambert, global consumer operations manager de Panda Security.
La compañía explica que aunque ahora se hacen pasar por la Tesorería General de la Seguridad Social, no es la primera vez que se da una estafa de este tipo.
En ocasiones anteriores los criminales, llamaban desde Perú a residentes en España haciéndose pasar por la operadora de telefonía con la que tenían contratado el móvil y les ofrecían sugerentes ofertas. Rebajas o smartphones graties eran algunos de los reclamos con los que conseguían picar y facilitar la información de pago.
"Cuando las víctimas accedían al engaño, los ciberdelincuentes volvían a ejecutar los mismos pasos para enviar el dinero a cuentas fantasma y enviarlo a Perú, para posteriormente retirar el dinero en efectivo de cajeros automáticos", explica Panda.