Els Mossos alerten sobre l'estafa que buida els comptes bancaris a Catalunya

Joan va rebre fa un temps una trucada des del número de telèfon de la seva sucursal bancària. A l'altre costat del telèfon parlava un home, que es va identificar com a treballador del banc. El va trucar per avisar-lo que algú estava intentant treure 400 euros del seu compte bancari i, per a confirmar-ho, li va indicar els 20 dígits correctes del número del seu compte.

No va sospitar: el trucaven des del número que tenia guardat, sabien totes les seves dades i, a més, coneixien a la perfecció el seu compte bancari. Després de donar-li aquesta informació, el "seu banc" el va convidar a fer una prova per tal d'evitar que el presumpte intent de robatori li succeís de nou. Li van indicar que devia comprovar que el seu servei de 'instant money' funcionava, perquè resulta que el robatori havia estat perpetrat des d'aquest servei.

'Instant money': així funciona l'estafa

Aquesta innovadora funció -'instant money'- permet a qualsevol client del banc autoritzar una altra persona a retirar diners a l'instant des d'un caixer automàtic. La persona propietària del compte ha d'ordenar la retirada des de la seva aplicació del banc i anotar el número de telèfon de la persona que el retirarà, posant la seva signatura digital per a confirmar la identitat. Una vegada fet, la persona autoritzada rebrà un codi amb el qual poder retirar els diners.

Va ser llavors quan Joan va començar a sospitar: mai abans havia sentit parlar de l''instant money' i no ho tenia activat, però va seguir les indicacions. El suposat senyor del banc li va dir que, per a provar, intentarien fer una operació senzilla a través d'aquest servei.

Per a "major seguretat", havia d'enviar-se els diners a si mateix: ell ordenava una retirada de diners al seu mateix número de telèfon. La prova no tenia més recorregut: sense aquest codi -que només Joan anava a rebre- ningú podria treure els diners. Però, des de la trucada, li van instar que digués el codi rebut en el SMS per a "comprovar" que era el correcte amb "les dades enviades pel banc".

Una estafa molt recurrent i perillosa

En aquest moment, les sospites de Joan van evitar que aquest revelés el codi que havia rebut per SMS, i va penjar. Així va evitar que els estafadors, que segurament estaven al costat d'un caixer esperant que en Joan els donés el número rebut per SMS, li robessin. L'endemà, Joan va anar a la seva oficina bancària, on li van confirmar que es tracta d'una estafa molt recurrent i perillosa.

Els Mossos d'Esquadra, de fet, acaben d'emetre una alerta en el qual avisen d'aquest mètode: "Amb el 'vishing', l'estafador intenta aconseguir les teves dades personals amb una trucada de telèfon suplantant al teu banc", adverteixen a través del seu compte de X. "Estigues alerta, l'any passat vam rebre el doble de denúncies de ciberdelictes que el 2022", conclou el tuit.

'Spoofing' o 'vishing': suplantar la identitat del banc

Suplantar la identitat, en aquest cas de l'entitat bancària, per a enganyar i robar a les víctimes és una forma d'estafa que es coneix com 'spoofing' bancari. També es coneix com 'vishing', que l'Institut Nacional de Ciberseguretat (Incibe) defineix com una tècnica en la qual, "a través d'una trucada, se suplanta la identitat d'una empresa, organització o persona de confiança, amb la finalitat d'obtenir informació personal i sensible de la víctima".

Detectar una suplantació d'identitat telefònica pot ser difícil, ja que els ciberdelinqüents utilitzen tècniques cada vegada més sofisticades. Exemple d'això és que aconsegueixen trucar des del número de telèfon del teu banc. Es pot fer de dues maneres:

La primera consisteix a utilitzar un servei de VoIP (Veu sobre protocol d'Internet, per les seves sigles en anglès) que permet contactar amb el destinatari com si fos una trucada per xarxa telefònica quan en realitat es tracta d'una comunicació per internet.

El segon mètode és trucar des d'un altre número, però canviant el número que li apareix en pantalla al destinatari, alguna cosa que els mateixos proveïdors de VoIP poden fer, perquè no solen comprovar si el client és l'amo del número que sol·liciten.

Com saben les teves dades

La tècnica que usen aquests ciberdelinqüents perquè confiïs en ells és donar-te dades que aparentment ningú pot conèixer sense tu saber-ho. Saben el teu nom, cognoms, DNI, número de telèfon i, com en el cas de Joan, també el teu compte bancari.

Aquestes informacions les solen obtenir de filtracions de dades massives que roben a grans empreses, però també les poden comprar en el mercat negre. Per exemple, en 2018, l'empresa de Facebook (ara Meta) va reconèixer que s'havien filtrat 30 milions de dades d'usuaris per un atac pirata. Aquest va ser un cas molt conegut, per la dimensió de l'empresa, però passa en moltes altres companyies.

També pot ser que les dades els hagis donat tu mateix com a víctima d'un engany de 'phishing', un altre tipus d'estafa que generalment et porta a un enllaç on et demanen les teves dades. Si no et roben diners pots no adonar-te del delicte, però segurament t'han robat dades per a utilitzar-les en una altra estafa major.