La Policía desarticula una banda de phishing bancario: robó 600.000€ posicionando muy bien su web en un buscador y con SIM swapping

La Policía Nacional ha anunciado que ha desarticulado una organización criminal dedicada a estafas informáticas a través de vishing, una modalidad de phishing. Defraudaron casi 600.000 euros a tan solo nueve víctimas en diferentes provincias de España (una media de casi 70.000 euros por persona).

Hay 45 detenidos en Madrid, Barcelona, Valencia, Murcia y Cartagena. Los cargos: pertenencia a organización criminal, falsedad documental, usurpación de identidad y estafa informática. La Policía localizó en dos domicilios de Cartagena documentación falsa, una impresora con la que se imprimían documentos falsos y tarjetas de crédito.

????Desarticulada una organización criminal dedicada a #estafas informáticas a través de #vishing

Defraudaron casi 600.000€ a nueve víctimas en diferentes provincias de #España

Hay 45 detenidos en #Madrid, #Barcelona, #Valencia, #Murcia y #Cartagena #SomosTuPolicía pic.twitter.com/lZSWpmwozp

— Policía Nacional (@policia) September 13, 2022

La Policía también ha bloqueado las webs falsas. En el tiempo que estuvieron activas consiguieron los datos de nueve clientes de una entidad bancaria concreta. Tras conseguir sus datos, la banda robaba el dinero de dos maneras: mediante el vaciado de sus cuentas y la contratación de préstamos personales inmediatos.

Webs bien posicionadas en el buscador

El modus operandi llevado a cabo por los cibercriminales consistía en crear webs fraudulentas y lo curioso de este caso es que, en vez de enviar mails o SMS con el enlace (que es lo más común en los casos que reportamos), conseguían posicionarlas en los primeros resultados de un buscador. Lo hacían pagando. Así cuando una víctima buscaba el portal de acceso a su banco online, le aparecía como primera opción el enlace creado por los estafadores.

La Policía no ha detallado ni qué buscador cometió el error de emplazar en sus primeros resultados una web de estafas ni tampoco a qué banco suplantaba.

Luego las víctimas introducían sus datos personales de acceso a la banca online en la web suplantada y así es cómo éstos quedaban a disposición de los criminales. Los ciberestafadores accedían a la banca online de las víctimas y recopilaban sus datos personales y número de teléfono y acudían a una tienda física para solicitar un duplicado de la tarjeta SIM bajo la excusa de robo o pérdida, consiguiendo de este modo tener acceso sobre la línea telefónica de la víctima, lo que se conoce como SIM swapping (una técnica que se está haciendo común en diferentes casos que hemos ido reportando).

Tras esto, los delincuentes accedían a la banca online de las víctimas nuevamente y ordenaban trasferencias a favor de terceros (estas son personas llamadas mulas, que se prestan a recibir dinero y cobrar por ello y que muchas veces no saben que son parte de una organización criminal). También solicitaban microcréditos de concesión inmediata para seguidamente desviar todos los fondos de la cuenta bancaria. Gracias a su SIM, podían validar todas las operaciones.

El SIM swapping les hacía pasar desapercibidos

El motivo de tener total control de las llamadas entrantes y salientes del móvil de la víctima era para evadir las medidas de seguridad implementadas por las entidades bancarias. Al poder aceptar fácilmente la verificación en dos pasos que solicitan los bancos a sus clientes, las transacciones parecían mucho más reales y no levantaban sospecha.

El problema para la banda es que, quien sí llegaba a sospechar era la víctima cuando veía que no tenía cobertura en su teléfono. Dice el Ministerio del Interior que como las aplicaciones de mensajería instantánea continuaban funcionando en la mayoría de los casos debido a la conectividad por WiFi, esto ralentizaba el tiempo en que la víctima era consciente de que había perdido el control sobre su línea telefónica.