Francisco Raúl Moreno Mera recibió tres mensajes en su teléfono móvil donde le informaban que habían realizado devoluciones por transferencias bancarias a su cuenta, de un tal Ayoub Lamkalcha.Lo que parecían devoluciones económicas en realidad eran cargos a su cuenta. Las transferencias se hicieron el día 15, tras lo cual recibió instrucciones para resetear el móvil por estar infectado, supuestamente. Después, el día 18, recibió otra llamada fraudulenta a la que dio las claves, ya que conocía sus movimientos bancarios.
|
etiquetas: estafa bancaria , movil , smishing
En tiempos de tu abuelo ya había estafas, en tiempos de tu tatarabuelo ya había estafas. En tiempos de tus nietos seguirá habiendo estafas. Todo el mundo puede caer en una en cualquier momento. Que fueran por otros medios es otra cosa.
www.meneame.net/story/nos-han-estafado-nos-hemos-quedado-sin-ahorros
www.meneame.net/m/actualidad/doble-estafa-telefonica-nunca-antes-vista
La que hay liada ¿no?
Tened cuidado y advertir a los familiares en la cena de mañana
En época de mi abuelo, si alguien te venía a hablar de dinero, le largaban a por viento, por las buenas o por las malas.
Y payes que era mi abuelo, por las malas no se quería ir nadie.
Ahora la gente se fía de un desconocido en una llamada telefónica. Y le da las claves del banco. Ver para creer.
En tiempos de tu abuelo ya había estafas, en tiempos de tu tatarabuelo ya había estafas. En tiempos de tus nietos seguirá habiendo estafas. Todo el mundo puede caer en una en cualquier momento. Que fueran por otros medios es otra cosa.
Y los del banco son plenamente conscientes de ello, por eso le han dado largas así: le dijeron que tenían que investigar lo sucedido, pues cabía la posibilidad de que “se hubiese puesto de acuerdo con otra persona para sacar el dinero”
Basta con que el banco sea incapaz de demostrar que este señor es el ladrón o estaba compinchado con el ladrón del robo que ha sufrido el banco para que éste le tenga que devolver el dinero, si no lo hace voluntariamente tendrá que ser un juez quien les obligue.
Al ir a denunciar un lunes, la comisaría estaba llena de casos similares.
Que si, que es algo más seguro que un Windows, pero el día que empiecen a caer los iOS y/o android, la tragedia va a ser monumental.
Los 2FA, por definición deben estar totalmente aislados de la contraseña principal para ser robustos, si no, simplemente es una contraseña en dos trozos.
El SIM swapping ha hecho ricos a gente que no tenía ni idea de informática pero muy buena labia, consiste en convencer al empleado mal pagado de una operadora de móviles para que te de un duplicado de la SIM y con esa tarjeta ya recibes los códigos de verificación, solo necesitas poder de convicción y un empleado con poca formación.
at0m4rxculo;com,
Nótese que he puesto punto y coma y coma por si alguien la roba y lo mete en un CSV gigante con claves. Seguridad ante todo.
Lo curioso es que le dije esta clave a un señor muy amable que me llamó por teléfono, del Santander, aunque no tengo cuenta allí y se sintió muy ofendido y me colgó en el acto.
No entiendo por qué
Antes era la tarjeta de coordenadas, pero desde que los smartphones tienen cámara se han quedado bastante atrasadas...
Dicho lo cual, no siempre es responsabilidad del banco. Puede ser un fallo en la seguridad del banco o puede ser un incumplimiento en el deber de custodia de los elementos de seguridad. No pienses que hay muchas sentencias relacionadas con vishing, phishing o smishing en las que se condene al banco. Precisamente esas estafas están pensadas para atacar el deber de custodia.
Un banco deberá abonar 5.800 euros a una clienta por fraude
elderecho.com/un-banco-debera-abonar-5-800-euros-a-una-clienta-por-fra
Unicaja, condenada a devolver 5.000 euros sustraídos a una clienta por 'phishing'
eldiariocantabria.publico.es/articulo/cantabria/unicaja-condenada-devo
Phishing: Un banco condenado a devolver 2.120€ a un cliente estafado por phishing
www.corunaonline.com/phishing/
La justicia condena a un banco a pagar a un cliente el dinero que le robaron por phishing
noticias.juridicas.com/actualidad/jurisprudencia/17104-la-justicia-con
...
No en todas las noticias se explica bien, pero en esas sentencias se condena al banco porque el juez aprecia que ha habido un fallo en la seguridad.
Eso es un fallo de seguridad.
Cada vez que renuncian a ello, por que les sale más barato, están asumiendo un riesgo al no usar un método que garantice la identificación de quien ordena la transferencia y por lo tanto están asumiendo el riesgo que roben al banco.
Y lo saben. Les sigue saliendo a cuenta con los ahorros de los costes y por qué facilitar la operativa les aumenta el número de operaciones y comisiones, por eso lo siguen haciendo.
Lo que no quita que si por rebajar esas medidas de seguridad les roban no tienen ningún derecho a reducir la deuda que tienen con sus clientes.
Y eso lo saben los bancos y lo saben los jueces y lo despreciable es que la banca aún así intenta colar a sus clientes su responsabilidad, a ver si cuela y no les denuncian. Y nuestro sistema judicial no tiene sentencias ejemplarizantes por lo que saben que les sigue saliendo a cuenta engañar a sus clientes haciéndoles creer que es a ellos a quienes han robado y no al banco a ver si eso cuela. Una vergüenza.
Es que en muchas de estas estafas es el propio cliente quien hace la transferencia, engañado lógicamente, pero la hace él.
Es difícil incluir criterios de certeza en operaciones bancarias, en principio se supone que el cliente cumple con su parte y toma las medidas que le corresponden.
En mi caso, si el banco me bloquea una operación y me hace acudir con DNI a una oficina, me cambio de banco.
Y no estoy defendiendo a los bancos, lo que intento decir es que en una relación contractual hay dos partes y cada una debe asumir su parte de responsabilidad. ¿Pueden los bancos mejorar su seguridad? Sin duda. Pero eso no nos exime a nosotros de nuestra parte.
Hay que entender que si la responsabilidad fuese siempre del banco, en cualquier circunstancia, estás abriendo las puertas a simular delitos para sacarle dinero al banco.
En la práctica totalidad de estos ataques el atacante hace creer al cliente del banco que está haciendo algo distinto a lo que está haciendo, por ejemplo que está autorizando un cobro cuando está autorizando un envío de dinero, o que está pagando una deuda a Endesa cuando se está transfiriendo dinero a una cuenta de un titular desconocido, o que está validando datos personales cuando se está realizando una transferencia, etc.
Algo que no estaría ocurriendo si el cliente estuvieran interactuando con un operario del banco tras verificar su identidad con el DNI. Es el banco quien está asumiendo esos riesgos para ahorrarse costes y tener más operaciones.
En mi caso, si el banco me bloquea una operación y me hace acudir con DNI a una oficina, me cambio de banco.
Y te irías a otro banco que haya decidido asumir mayores riesgos de robo a cambio de tener más clientes y operaciones. Es el banco el que debe valorar si le compensa asumir esos riesgos.
lo que intento decir es que en una relación contractual hay dos partes y cada una debe asumir su parte de responsabilidad.
Así es, el cliente entrega su dinero al banco el cual contrae una deuda con el cliente que solo puede reducirse cuando el cliente ordena operativas o las autoriza. El banco puede usar ese dinero recibido para lo que le venga en gana y como es su dinero si se lo roban se lo roban al banco.
Si el cliente es el ladrón obviamente tiene que ser condenado, de lo contrario la deuda no se puede reducir por que el banco no quiera asumir que le han robado.
Hay que entender que si la responsabilidad fuese siempre del banco, en cualquier circunstancia, estás abriendo las puertas a simular delitos para sacarle dinero al banco.
Eso es simple y llanamente falso. El banco tiene todo el derecho del mundo a denunciar cualquier robo sea quien sea quien lo lleve a cabo, también si es el cliente. Y existen leyes que castigan con penas de cárcel los robos a los bancos, también si los llevan a cabo los clientes.
Que el banco asuma las pérdidas que incurre por robos tras rebajar su seguridad para ganar clientes no altera las leyes contra los robos.
cc #37
Eran famosas las fiestas donde bebían Dom Perignon en los zapatos de las chicas de compañía.
Hay una peli documental sobre un tipo muy famoso que empezó así, ahora no la recuerdo.
Poco nos pasa si tenemos en cuenta que aquí la gente ve absurdo cambiarse de móvil antes de 10 años cuando en el mejor de los casos sólo te garantizan 5 años de parches de seguridad y la gente es capaz de instalarse cualquier cosa a lo loco aceptando todos los permisos.
Para el que esté leyendo esto y esté interesado en la ciberseguridad, lo de poner cosas completamente aleatorias es mucho menos seguro que poner cosas que sólo tengan sentido para ti.
Véase este chiste de XKCD que lo explica perfectamente: www.explainxkcd.com/wiki/index.php/936:_Password_Strength
Esto es como si vives de alquiler y pierdes las llaves del piso con una foto de tus hijos. Y un vecino las encuentra y te desvalija el piso. Y tú pretendes que el casero te pague el robo.
Eso es falso, no basta con no haberlas custodiado bien, tiene que haber habido una negligencia temeraria o colaboración con los ladrones para que un juez le dé la razón al banco al intentar negar que le han robado.
Múltiples sentencias te quitan la razón, cité algunas en # 23: www.meneame.net/story/estafan-vecino-vejer-casi-10-000-euros-cuenta-ba
Quién tiene la responsabilidad del dinero es la banca, por que es su dinero. Si quieren usar identificación por DNI presencialmente o si quieren asumir el riesgo de un PIN en una tarjeta de plástico eso es cosa suya, pero la responsabilidad del dinero del banco es de la banca, si se lo roban se lo roban a ellos.
Paso del símil que has puesto por que no tiene absolutamente nada que ver. El dinero en el banco es del banco, posiblemente estés confundido y pienses que es tuyo, y de ahí tus conclusiones erróneas.
"Hay quien le llama dinero a lo que tiene en el banco, pero eso es un medio de pago. Un medio de pago puede ser dinero, como en los billetes, porque es dinero, o puede ser una promesa de dar dinero. El depósito bancario no es dinero, es promesa de darte dinero FIAT. Y por lo tanto esa es la fragilidad enorme, porque si las cosas van bien no pasa nada, pero si no van bien el medio de pago este se rompe."
- Miguel Ángel Fernández Ordóñez, ex-gobernador del Banco de España entre el 2006 y 2012. (minuto 9:20 en este meneo: www.meneame.net/story/euro-digital-cbdc-watch-out-bitcoin-2023 )
Quizá te creas que alguien que compra una lista con millones de credenciales se conecta manualmente a los distintos servicios y escribe a mano, letra a letra, el usuario y la contraseña de cada elemento de la lista.
A lo que aspira lo que se ha comentado es a dificultar los ataques masivos en los cuales se venden listas ingentes de usuarios y contraseñas y el atacante usa scripts para procesarlos de forma masiva para obtener una lista de los que siguen siendo válidos, es a esos scripts a los que afectaría, a los de la gestión masiva.
Tengo un cliente que cobra así a sus clientes, y que no presenta el manifiesto firmado por cada uno de ellos. Cualquier día se va a llevar un disgusto
Personalmente, prefiero contraseñas como
Me1sldT,pmg!
"Menéame es un saco lleno de trolls, pero me gusta!"
No es un tema bancario, pero este año me llegó un mail de Blizzard diciendo que tenía que bajarme una aplicación de Battle.net de móvil porque el autentificador viejo lo iban a retirar, y me daban un enlace para bajarlo. Pensé que era una estafa porque la dirección de e-mail terminaba de manera rara y sonaba todo extraño. Estuve mirando en foros y por lo visto era un mail legítimo, pero usaba un subdominio de la compañía, por eso tenía un remitente raro. Me quedó claro que está volviéndose bastante jodido saber qué es verdad y qué es estafa.
Datos como la contraseña de la banca a distancia, los OTP que se envían para confirmar la operación o el CVV son datos que conoce solamente el titular del contrato.
El problema es la ingeniería social que utilizan y el tremendo analfabetismo digital que tiene gran parte de la población, fiándose de lo que les cuentan y dando datos sin pensar en vez de colgar y llamar a su banco.
Si a ti te llaman y te dan la matrícula de tu coche para "confirmar" que son el concesionario, ¿les darías las llaves? Pues con los datos de la BaD lo mismo, pero la gente cae engañada porque no tienen conocimientos
A quien han robado es al banco. Y a menos que éste pueda demostrar que el cliente ha tenido una negligencia temeraria o ha sido cómplice del robo no tiene ningún derecho a reclamarle nada al cliente, si sus sistemas de protección son tan endebles que basta con que alguien sin la intencionalidad pero que actúa de forma distraída sea suficiente para que al banco le roben dinero éste debería mejorar sus sistemas de seguridad a menos que esté dispuesto a asumir las pérdidas que le produce ese sistema de seguridad deficiente.
Si tiene alguna duda sobre la operación le basta con exigir al cliente que se persone en una de sus oficinas con el DNI, si decide renunciar a esa verificación de la operativa está renunciando a ese nivel de seguridad y le corresponde asumir las consecuencias de los robos que eso facilita.
Así lo han sentenciado multitud de sentencias en los juzgados.
Por ejemplo:
email;usuario;contraseña;sitio
tralari@tres.com;miusuario;micontraseña;www y a h oo.com
trola@ruso.es;usuario;contraseña;www.g m a il.com
En este ejemplo si la contraseña contiene un punto y coma y quien la crea lo hace a lo bruto, sin "sanear" las entradas, entonces esa contraseña en vez de ir íntegramente a la columna de contraseña hay una parte que va en esa columna y otra que ocupa la columna de "sitio" y luego tiene una columna extra que no tiene título pero que contendrá el sitio.
Cuando un script procese ese archivo la contraseña que encontrará será incompleta y por lo tanto cuando la intente verificar le dará siempre error.
Una forma simple para proteger la lista de ese problema es poner sus valores entrecomillados, así:
email;usuario;contraseña;sitio
"tralari@tres.com";"miusuario";"micontraseña";"www.y a h oo.com"
"trola@ruso.es";"usuario";"contraseña";"www.g m a il.com"
En ese caso el que la contraseña tenga un punto y coma no lo hará dividirse en dos columnas, ahí es donde entra mi propuesta de incluir unas comillas simples y unas dobles, de forma que en este ejemplo si encontrase unas comillas dobles posiblemente el script lo interpretase como fin de la contraseña y la parte de la contraseña detrás de esas comillas no la tuviera en cuenta. A veces se usan comillas dobles para aislar, otras comillas simples.
A su vez el carácter de comillas simples y dobles también puede interferir con el script si no ha tratado las variables con cuidado, ya que son símbolos que para el lenguaje de script tienen significados en cuanto a donde termina una instrucción y empieza otra o los textos o así.
Para entornos donde cada elemento es importante y hay que gestionar todos los errores pues a alguien le saltaría un error, lo corregirían y así hasta el siguiente. Pero para un hacker que ha comprado millones de posibles usuarios y contraseñas que le fallen unas cuantas por errores raros posiblemente le dé igual y no quiera perder el tiempo en depurar el script, con que otras contraseñas le funcionen le bastará ya que las tratan a peso y no dándole valor una a una.
Es como el chiste del león y el bosque, no es necesario correr más que el león, basta con correr más que tu compañero.
Un tío abuelo de mi mujer también pico en un ponzi.
Si de mi dependiese se enviaría un sms semanal recalcando eso mismo que comentas
El caso es que hace diez o quince años hubo gente que se forró con ello.
Ingenieria social de la época, no engañaban a la gente solo por avaricia de la víctima, sino muchas veces a través de su bondad. Las victimas se pensaban que lo sabian todo de su pueblo, su fsmilia, cuando eran estas las que le facilitaban todos los datos.
Y ese gancho se usaba mucho por entonces.
Igual a tu abuela lo que hicieron fue pedirle dinero y convencerla de que se lo iban a devolver dando señas falsas y desaparecieron sin más pero eso no es "la estampita".
Me imagino que se están tomando más medidas preventivas desde las operadoras.
Creo que fue en Netflix donde vi el reportaje sobre unos que empezaron con lo de las SIM y los fiestones mega lujosos que se montaban.
cc. #82
De todos modos no es eso lo que hacen, sino que suplantan la identidad del móvil, el caller ID. Eso solo es posible si tienen acceso a sistemas de alguna operadora, o a alguna antena, o ... hay diferentes modos.
Creo que me cobraban 10€ pero merecía la pena porque los ladrillos Motorola, tenían hasta forma de ladrillo me los regalaba un amigo que trabajaba en una operadora y los tenían a puñados porque nadie los quería.